我正在努力调整 fail2ban 的性能,我读到过长的禁令可能会导致规则的积累,从而对性能产生负面影响,这让我感到疑惑,“对于 nftables 来说,是否有任何特定的想法认为规则数量‘太高’?”
我目前使用以 nftables 为后端的firewalld,大概有 10-20 条规则。
但是,有些服务器是专门为某些国家/地区的用户设计的,不应在这些国家/地区之外访问。如果我下载一个国家/地区 IP 数据库(例如 MaxMind),然后为允许列表之外的国家/地区的所有 CIDR 生成规则列表,我最终会得到近 17,000 条规则。
一方面,规则很多(恕我直言),但另一方面,只有来自指定国家/地区以外的垃圾邮件和黑客攻击(即使是合法出国旅行的用户也需要通过 VPN 进入美国才能访问)。
这种数量会对 nftables 产生负面影响吗?我认为影响与需要检查的数量有关,但我还没有找到一个好方法来查看或衡量规则的影响,而且我不想在事先不知道可能产生的影响的情况下开始加载数千条规则。
我将首先研究许多规则对性能的影响
规则匹配算法:Nftables 使用了比其前身 iptables 更高效的规则匹配算法。但是,如果规则数量非常多(例如 17,000 条),性能仍然会受到影响,因为需要根据规则检查每个数据包,直到找到匹配项或到达列表末尾。
服务器的处理能力和内存起着重要作用。更强大的硬件可以更有效地处理大量规则。
规则的结构和组织方式也会影响性能。例如,将相似的规则分组在一起并尽量减少链的数量有助于提高性能。
一旦我们明确了这一点,就关注最相关的项目:
IP 集:您可以使用 ipset 将 IP 地址或范围分组在一起,而不必为每个 IP 范围创建单独的规则。这样可以减少规则数量并显著提高性能。Nftables 支持集合,这对于处理大量 IP 地址更有效率。
使用nft monitor等工具查看规则的应用情况以及是否存在性能瓶颈。在测试不同的规则配置时监控 CPU 和内存使用情况有助于确定最佳设置。
在非高峰时段批量应用规则,以减少服务器的即时负载。
您可以在下面找到一些更全面的信息:
nftables 官方 wiki 提供了有关 nftables 如何工作以及如何优化它的全面信息。
Nftables 维基
一些研究和文章讨论了 nftables 与 iptables 相比的性能影响以及使用 nftables 的最佳实践。
Nftables 性能分析
Firewalld 文档包含管理大量防火墙规则的最佳实践和性能技巧
Firewalld 文档
通过利用集合和监控性能,您可以使用 nftables 更有效地管理大量防火墙规则并减轻潜在的性能问题。
祝你好运!