V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 4703 days ago, the information mentioned may be changed or developed.
想在服务器上打开一个代理供手机使用,为了防止滥用,添加了搜到的联通 IP 地址范围的准入规则,大概 600 行左右,每行是一个 IP 范围。
这个大小对 IPTables 来说很大吗?机器是 Linode 1G Mem
这个大小对 IPTables 来说很大吗?机器是 Linode 1G Mem
 |
1
efi Jun 20, 2013
ipset
|
 |
2
xzl Jun 20, 2013
生产环境到过6000没问题,就是感觉每个包进来都要这么筛一次,会慢。
|
 |
3
dndx Jun 20, 2013
iptables 的过滤操作是通过 kernel module 在内核态完成的,效率应该是没有问题的。
|
 |
4
TankyWoo Jun 20, 2013
用ipset吧,我以前总结果相关的资料:http://wiki.wutianqi.com/tool/ipset.html
|
 |
8
chemhack Jun 20, 2013
prefix匹配效率很高的,都是二进制操作,放心好了。
|
 |
9
tywtyw2002 Jun 22, 2013
以前我有过类似的项目,不过是http代理,用squid里面的acl 过滤掉了ip,感觉性能还是不错。 squid acl 上万条前缀都没啥问题。
iptables 没写过那么多条目。 如果单纯屏蔽ip的话,用ip rule 然后做blackhole就好了。 ip rule 做的是路由查找,速度不错的。 |
 |
10
julyclyde Jun 23, 2013
2008年在5d6d弄过三千条,结果system interrupts特别高,机器基本卡死不能干活儿
不过当年的服务器配置比较低啦 建议在应用层做这个 |
Select Language