fail2ban을 사용하여 내 서버의 로그인 시도를 차단했습니다. 이 블록은 다음과 같은 구성의 IP 테이블을 사용하여 수행됩니다.방화벽 규칙 처리 처리
actionstart = iptables -N fail2ban
iptables -A fail2ban -j RETURN
iptables -I <chain> -p tcp -m multiport --dports <port> -j fail2ban
actionstop = iptables -D <chain> -p tcp -m multiport --dports <port> -j fail2ban
iptables -F fail2ban
iptables -X fail2ban
actionban = iptables -I fail2ban 1 -s <ip> -j DROP
actionunban = iptables -D fail2ban -s <ip> -j DROP
필자는 규칙 처리 성능에 대해 우려하고 있습니다. 위의 규칙은 상태 저장 모드이며 상태 비 저장 모드로 처리하는 것이 더 빠를 지 궁금해했습니다. 일을 분명히하기 위해 TCP 포트 (예 : 22 또는 25)에서 침입자 IP 주소를 차단하고 있습니다.
나는 TCP 연결 specialy에 대해 ESTABLISHED, RELATED 상태를 추가하는 것이 더 좋을 것이라고 읽었습니다. 그러나 각 IP는 다른 연결을 나타 내기 때문에 이러한 상태를 적용하는 것이 합리적입니까?
는 UPDATE :
여기은 샘플 iptables -L
입니다 : 많은 성능 변명은, iptables에 상당한 오버 헤드를 가질 수 있습니다 주장 무엇에도 불구하고
Chain INPUT (policy ACCEPT 399 packets, 36043 bytes)
pkts bytes target prot opt in out source destination
39 4230 fail2ban tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22,25,80,99,100,101
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 282 packets, 39686 bytes)
pkts bytes target prot opt in out source destination
Chain fail2ban (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 192.168.0.1 0.0.0.0/0
0 0 DROP all -- * * 192.168.0.2 0.0.0.0/0
0 0 DROP all -- * * 192.168.0.3 0.0.0.0/0
0 0 DROP all -- * * 192.168.0.4 0.0.0.0/0
39 4230 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
업데이트 확인 – Jay