將整個阻止清單新增至 UFW 是否有缺點

將整個阻止清單新增至 UFW 是否有缺點

我製作了一個基於 nginx 的代理伺服器,它可以重新導向幾台機器的流量,這樣它們就可以擁有一個我可以維護的安全過濾器。沒什麼瘋狂的,只是足以阻止一些廣告追蹤機構並節省我有限的數據計劃。

不管怎樣,nginx 在性能方面是完美的,並且在使用網路時實際上加速了我的一些設備。然而,nginx 的過濾解決方案並不容易找到,所以我必須使用 Ubuntu 來看看哪裡還可以存在過濾器。

我在主機文件中添加了一些惡意 ip 的開源列表和反跟踪列表,發現有時 nginx 會在主機文件周圍工作,這樣就直接消失了,所以我開始尋找基於防火牆的解決方案。

雖然我知道ufw 並不是為了阻止網域而設計的,但它是唯一能夠成功完全阻止nginx 請求不需要的連結的工具,因此我編寫了一個shell 腳本,其中包含所有列出的網域的IP 以及記錄的惡意內容我的機器現在正在處理的 IP 位址。

# Example of the script
ufw deny out to 1.2.3.4;
ufw deny out to 1.2.3.5;
ufw deny out to 1.2.3.6;

我向你們提出的問題是,由於腳本在我不太繁忙的 digitalocean Droplet 中運行需要很長時間,我是否會注意到由於存在如此多的 IPtables 規則而導致效能下降?或者 UFW 只是一個設定層,對 IPtables 的運作方式沒有影響,考慮到它是一個以 UI 為中心的應用程序,可能會有點龐大?我認為 IP 表有多成熟,不會承受太大的開銷,也不介意一次等待,但我有點擔心,只是因為腳本將每條規則加載到規則中需要多長時間。

我想我可以將其通過管道傳輸到配置文件之一,但我覺得通過易於使用的命令介面運行它是穩定且安全的解決方案。你們有什麼感想?

相關內容