hosts.deny大小对网络响应性的影响

Question

我打算通过在hosts.deny文件中添加适当的条目来完全拒绝对大约2000个IP地址的访问。这是否会对合法的IP远程访问系统的响应性产生影响？

Answer 1

它将使初始连接速度稍慢，但过去的连接对一旦连接后的响应没有任何影响。

一般来说，hosts.deny非常快:在我刚刚运行的测试中，一个零长度的hosts.deny需要0.93秒来启动和关闭ssh连接("time ssh env")。对于64,010行hosts.deny (形式为"ALL: 10.10.x.y"，x和y从2到254)，相同的连接耗时1.03秒。所有的时间平均在四个样本上。

显然，你的里程可能不同，所以我建议你测试，但我怀疑你会有严重的问题。

Answer 2

还可以将iptables与连接跟踪一起使用，我认为这会稍微快一些，并具有协议不可知论的额外好处，即同样适合拒绝连接到tcp/udp/icmp或任何您可能正在运行的服务。

Answer 3

• 这些2000个地址可以聚合下来吗？hosts.deny将采用CIDR定义。因此，例如，它应该更快、更容易管理: 10.0.0.0/30 10.0.1.0/30比等效的10.0.0.1 10.0.0.2 10.0.1.1 10.0.1.2
• 它需要防火墙吗？如果您经常这样做，那么这确实是防火墙的责任，而不是主机本身的责任。集中管理会更容易，而且( Jim注意到)OpenBSD有状态跟踪的PF将使它变得非常简单。