В iptables — 12000 правил (ip адресов в бане) — это много или терпимо для vps?

Question

[Константин]

Здравствуйте.
Имеется ВПС: 4гб оперативной памяти, 2 ядра.
Через iptables блокируются ip адреса, которые попадают через fail2ban (повторяющиеся запросы на 1 страницу).
Уже набралось больше 12000 (12 тысяч) ip адресов/правил.
Переживаю, что такое большое количество скажется на скорости работы отдачи страниц. Стоит переживать или это ещё нормально?
Сколько правил в iptables надо, чтобы сказалось на производительности ВПС?

Comments

[pfg21]

посмотреть сколь времени уходит на обработку правил.
иптеблс в отдельном едреном потоке сколь помню крутится.

[Константин]

pfg21, спасибо, но я ничё не понял :)

[Alexey Dmitriev]

У вас bantime настроен? Нет никакого смысла хранить адреса в черном списке вечно. Они должны удаляться спустя определенное время.

[Константин]

Alexey Dmitriev, первичный бан 1 сутки, повторный 7 дней.
Но вопрос в том, будет ли нагрузка на впс и/или скорость отдачи страницы, соединений.

[Alexey Dmitriev]

Константин, конечно будет - это же перебор по 12000 значений.
Как вам уже посоветовали - можно использовать ipset для хранения ip адресов.
https://github.com/ritsu/ipset-fail2ban

[Константин]

Alexey Dmitriev, да, так и сделал, перевёл хранение ip на ipset.
Только не через https://github.com/ritsu/ipset-fail2ban, а через встроенный функционал в fail2ban.

Answer 1

[Руслан Федосеев]

man ipset

Comments

[Константин]

спасибо, и как много тысяч ip адресов можно блокировать без падения производительности через ipset?

[Руслан Федосеев]

хоть все )
и фаервол проще - одно правило, и быстродействие выше...

[Руслан Федосеев]

да, если пользуетесь fail2ban, то в jail.local в DEFAULT секцию просто добавьте
banaction=iptables-ipset-proto4

и рестартуйте его. Он долго будет выгружаться, но зато потом быстро поднимется )

[Руслан Федосеев]

для recidive надо явно в самом правиле переопределить banaction, точно также

[Константин]

Руслан Федосеев, спасибо, щас попробую.
Только iptables-ipset-proto4 для ipset v4 как я понял.
Для ipset v6 (в репозиториях ubuntu 18.04) рекомендуется использовать iptables-ipset-proto6

[Руслан Федосеев]

а вас по v6 долбят? вау....
Ну вам никто не мешает и v6 использовать... там в action.d все возможные actions имеются, выбирайте

[Константин]

Руслан Федосеев, нет, ip адреса ipv4,
iptables-ipset-proto6 - это не под ipv6, а под версию ipset.
Цитата из шапки файла

# Fail2Ban configuration file
#
# Author: Daniel Black
#
# This is for ipset protocol 6 (and hopefully later) (ipset v6.14).
# Use ipset -V to see the protocol and version. Version 4 should use
# iptables-ipset-proto4.conf.

Мой результат команды

ipset -V
ipset v6.34, protocol version: 6

А вот что написано в iptables-ipset-proto4.conf

# This is for ipset protocol 4 (ipset v4.2). If you have a later version
# of ipset try to use the iptables-ipset-proto6.conf as it does some things
# nicer.

Или я ошибаюсь и не правильно понял?

[Руслан Федосеев]

а, это... Да, правильно

Answer 2

[Andrei1penguin1]

Уберите правила, затем верните
Сравните разницу во времени
Ответите на свой вопрос

Answer 3

[Иммануил Мотоциклов]

Зачем банить по IP, надо банить по признакам - подсказывает здравый смысл.

Comments

[Константин]

можете привести пример?

[АртемЪ]

PleasantNews, это как?
Банить это запрещать доступ.
Поскольку речь идет о fail2ban, то нужно запрещать доступ с адресов которые попались на сканировании.
Какие там могут быть признаки, если уже известен адрес?