Gibt es einen Nachteil, wenn man eine ganze Sperrliste zu UFW hinzufügt?

Gibt es einen Nachteil, wenn man eine ganze Sperrliste zu UFW hinzufügt?

Ich habe einen auf Nginx basierenden Proxyserver erstellt, der den Datenverkehr für einige Maschinen umleitet, damit diese einen einzigen Sicherheitsfilter haben, den ich verwalten kann. Nichts Verrücktes, gerade genug, um ein paar Werbe-Tracking-Agenturen zu blockieren und ein bisschen bei meinen begrenzten Datentarifen zu sparen.

Wie auch immer, nginx war in Bezug auf die Leistung perfekt und hat tatsächlich einige meiner Geräte beim Surfen im Internet beschleunigt. Filterlösungen für nginx waren jedoch nicht leicht zu finden, also musste ich mit Ubuntu arbeiten, um zu sehen, wo sonst ein Filter vorhanden sein könnte.

Ich habe der Hosts-Datei einige Open-Source-Listen mit bösartigen IP-Adressen und Anti-Tracking-Listen hinzugefügt und dabei festgestellt, dass Nginx manchmal direkt um die Hosts-Datei herum funktionierte. Das ging also völlig den Bach runter und ich habe angefangen, mich nach einer Firewall-basierten Lösung umzusehen.

Obwohl ich weiß, dass ufw nicht dafür konzipiert wurde, Domänen zu blockieren, war es das einzige Programm, das erfolgreich war, nginx vollständig daran zu hindern, den unerwünschten Link anzufordern. Daher habe ich ein Shell-Skript zusammengebastelt, das die IP-Adressen aller aufgelisteten Domänen sowie aufgezeichnete bösartige IP-Adressen enthält, die mein Rechner nun durchgeht.

# Example of the script
ufw deny out to 1.2.3.4;
ufw deny out to 1.2.3.5;
ufw deny out to 1.2.3.6;

Meine Frage an euch lautet, da es so lange dauert, bis das Skript in meinem nicht sehr ausgelasteten Digitalocean-Droplet durch ist, werde ich dann einen Leistungsrückgang bemerken, da es so viele IPtables-Regeln gibt? Oder ist UFW nur ​​eine Setup-Schicht, die keinen Einfluss darauf hat, wie IPtables läuft, und möglicherweise ein bisschen sperrig ist, wenn man bedenkt, dass es sich um eine UI-fokussierte App handelt? Ich denke, da IPtables so ausgereift ist, wird das nicht so viel Mehraufwand verursachen, und eine einmalige Wartezeit macht mir nichts aus, aber ich bin ein bisschen besorgt, nur weil das Skript so lange braucht, um jede Regel in die Regeln zu laden.

Ich hätte das wohl einfach in eine der Konfigurationsdateien einspeisen können, aber ich hatte das Gefühl, dass die Ausführung über die benutzerfreundliche Befehlsschnittstelle die stabile und sichere Lösung ist. Was meint ihr?

verwandte Informationen