IPアドレス範囲を使用して他の国をブロックし、SSHまたは一部のWebサービスを使用すると速度が遅くなります。ルールを削除してすべてを正常に戻すと正常に動作します。どんなアイデアがありますか?
ベストアンサー1
まあ、特にiptablesを使用して国全体の範囲をブロックする場合、いくつかのダウングレードが予想されます。すべてのルールは一致が発生するまで読み取られ、多くのルールではnetfilterの処理が難しい場合があります。国のネットワークをブロックするには、次を使用します。IPセット
ipsetは、完全なアドレス「集合」と同時に一致するファイアウォールルールを生成できるiptablesの拡張です。線形に保存およびナビゲートされる通常のiptablesチェーンとは異なり、IPセットはインデックス付きデータ構造に格納されているため、大規模なセットで作業している場合でもルックアップは非常に効率的です。