Через что блокировать массово IP адреса на сервере?

Question

[Станислав]

Ни разу не сталкивался с этим в таких объемах, обычно блокировал пару адресов через iptables и все, поэтому прошу совета у знающих людей.
Меня временами ддосят немного и я отлавливаю все подозрительные айпишники, заношу их в базу и прогоняю через чекер. По итогу в базе ожидается порядка 20-30к айпишников, не исключено что будет и больше.
Мне конечно удобно через Nginx, но объемы такие что .....
Iptables как я понял уже устарел, но все же быть может самое лучше забытое старое? Вообще это нормально такой объем через iptables блочить?
Может какие другие варианты под данные объемы присутствуют?
Банить собираюсь на веки вечные.

Answer 1

[Alexey Dmitriev]

Такой массив адресов лучше хранить в ipset, а блокировать в iptables - iptables умеет взаимодействовать с данными из ipset.

Comments

[Alexey Dmitriev]

И еще - ломать вас будут вероятно с хостингов. С хостингов приличные люди на сайты не ходят, поэтому в случае появления в списке нескольких адресов из подсети - можно проверить их в whois и если это хостер - можно банить всю 24 подсеть.
Также можно определять страны, не являющиеся целевой аудиторией и тоже банить подсетями.

[Станислав]

Alexey Dmitriev, Да, у меня куча Китайских черных ip, после того как на сайт добавил китайский язык

[Zerg89]

Станислав, ну тогда при появлении запросов с 5 из диапазона можно лочить по маске /24

Answer 2

[CityCat4]

man ipset