Eu gostaria de perguntar qual é o desempenho do iptables.
Digamos que eu coloque na lista branca e na lista negra alguns endereços IP, eu bloqueio cerca de 10.000 endereços IP, então cada IP é como uma nova regra.
Eu não sei o quão rápido é, porque digamos que alguém me DDoS largura de banda de alguns Gbps, o iptables pode lidar com isso?
CPU: 1 núcleo de Intel ® Xeon® E5-2650L v4
E é possível tornar o iptables mais rápido? Por exemplo, eu "agruparia" todos esses endereços IP em uma regra.
O Iptables pode lidar com qualquer coisa, desde que você forneça recursos suficientes para trabalhar, e provavelmente durará mais que sua conexão física de qualquer maneira.
Isso é chamado de resumo de endereço, e sim, você pode fazer isso.
O Iptables é muito eficaz, se você quiser testar isso eu provavelmente aconselharia permitir tudo, colocar a máquina em uma rede privada e configurar um carregador. O que é a carga do processo do sistema a 1 Gbp/s? o que é um 2, 3, 4 e assim por diante? E a partir deles tenha uma ideia do que o Iptables pode e não pode.
Se você realmente está sob um ataque de negação de serviço, quando o tráfego chega ao host, é tarde demais. Eles já usaram sua largura de banda. Veja nossa pergunta canônica sobre mitigação de DoS e DDoS .
Use o firewall do host para evitar que um pequeno número de clientes irritantes verifiquem seus aplicativos. Use provedores de serviços com serviços de migração de DDoS, depuradores de CDNs e grande largura de banda para combater grandes ataques.