使用iptables /netfilter阻止国家

Question

使用iptables (如http://www.cyberciti.biz/faq/block-entier-country-using-iptables/)很容易阻止来自国家的It。然而，我读到，如果拒绝列表太大，性能可能会下降。另一种方法是安装iptables修补程序，或者使用ipset ( http://www.jsimmons.co.uk/2010/06/08/using-ipset-with-iptables-in-ubuntu-lts-1004-to-block-large-ip-ranges/)代替iptables。

是否有人对各种方法有经验，并能就性能差异发表一些看法？

是否还有其他方法可以阻止linux中的国家I，而我没有在上面提到过？

Answer 1

我一直在用geoip和ipset。我建议使用它，因为它对我的网络的性能影响很小。如果仅使用iptables，那么规则集变得越长，数据包遍历的延迟就会更高。

IpSet实际上匹配了一组in，并且匹配是在一举完成的，而不是为iptable链中的每个IPs块匹配每条规则。