UFW에 전체 차단 목록을 추가하면 단점이 있나요?

UFW에 전체 차단 목록을 추가하면 단점이 있나요?

나는 유지 관리할 수 있는 단일 보안 필터를 가질 수 있도록 몇 대의 컴퓨터에 대한 트래픽을 리디렉션하는 nginx 기반 프록시 서버를 만들었습니다. 말도 안되는 일이 아닙니다. 몇 개의 광고 추적 대행사를 차단하고 제한된 데이터 요금제를 약간 절약할 수 있을 만큼 충분합니다.

어쨌든, nginx는 성능 측면에서 완벽했고 실제로 웹을 사용하는 동안 내 장치 몇 대의 속도를 높였습니다. 그러나 nginx에 대한 필터링 솔루션은 구하기가 쉽지 않았기 때문에 필터가 존재할 수 있는 다른 위치를 확인하기 위해 Ubuntu와 협력해야 했습니다.

나는 호스트 파일에 악성 IP 및 추적 방지 목록에 대한 몇 가지 오픈 소스 목록을 추가했고 때로는 nginx가 호스트 파일 주변에서 바로 작동한다는 사실을 발견하여 바로 배수구로 내려가 방화벽 기반 솔루션을 살펴보기 시작했습니다.

ufw가 도메인을 차단하도록 설계되지 않았다는 것을 알고 있지만 nginx가 원치 않는 링크를 요청하는 것을 완전히 차단하는 데 성공한 유일한 도메인이었으므로 기록된 악성 도메인과 함께 나열된 모든 도메인의 IP가 있는 쉘 스크립트를 함께 던졌습니다. 내 컴퓨터가 현재 처리하고 있는 IP 주소입니다.

# Example of the script
ufw deny out to 1.2.3.4;
ufw deny out to 1.2.3.5;
ufw deny out to 1.2.3.6;

제가 여러분께 드리는 질문은 별로 바쁘지 않은 digitalocean 드롭릿에서 스크립트를 처리하는 데 너무 오랜 시간이 걸리기 때문에 IPtables 규칙이 너무 많아 성능이 저하되는 것을 느낄 수 있을까요? 아니면 UFW는 IPtables 실행 방식에 영향을 주지 않고 UI 중심 앱이라는 점을 고려하면 약간 부피가 클 수 있는 설정 레이어일 뿐인가요? IP 테이블이 얼마나 성숙한지 생각하면 그렇게 많은 오버헤드를 겪지 않을 것이고 한 번만 기다려도 상관 없지만 모든 규칙을 규칙에 로드하는 데 스크립트가 얼마나 오래 걸리는지 조금 걱정됩니다. .

나는 이것을 구성 파일 중 하나에 파이프로 연결할 수도 있었지만 사용하기 쉬운 명령 간 단계를 통해 실행하는 것이 안정적이고 안전한 솔루션인 것처럼 느꼈습니다. 여러분은 어떻게 생각하시나요?

관련 정보