fail2ban是减慢了我的系统还是iptable？

Question

我有一个具有以下服务的服务器(VPS)：

(postfix/dovecot)

• dns服务器(bind9)

• http server (nginx)

Fail2ban在iptables中创建了许多条目，这会导致服务器变得非常慢，甚至有时它变得无法访问，我必须通过控制台登录并刷新iptables，然后才能连接到服务器。旧监狱如下所示：

dovecot, named-refused, nginx-botsearch, nginx-http-auth, nginx-limit-req, php-url-fopen, postfix, postfix-auth, recidive

• 监狱名单

95%的禁令是由后缀监狱触发的。我使用：bantime = 7200 findtime = 3600 maxretry = 5设置了累犯监狱，从而缩小了iptable的大小，系统的缓慢性略有改善，但仍然不够。我的问题是：- fail2ban应该为这种缓慢的行为负责吗？还是iptable本身？在以前的一个项目中，我没有安装fail2ban，我使用iptable对许多条目(比实际fail2ban创建的条目更多)，而且系统运行得很快。

我很感激关于如何处理这个fail2ban问题的任何建议。

Answer 1

他们俩都是罪魁祸首。Fail2Ban监视您的日志-所以如果有大量的日志记录，Fail2Ban将不得不解析更多的文本。IPtables对规则列表执行线性搜索--不可能使用二进制搜索，因为这会破坏逻辑。因此，规则越多，IPtables就越慢。

您应该检查usedns和banaction设置在/etc/fail2ban/jail.conf中。DNS查询可能比较慢，您可能希望尝试iptables-ipset-proto4而不是iptables-multiport作为操作。