希望阻止大量的IP

Question

我们有一个服务器，它总是被试图闯入的人攻击。我们在服务器上运行了DenyHosts和Fail2Ban，但是它仍然能从那些不太好的人那里获得大量的流量。我的老板终于厌倦了，他去了http://ipinfodb.com/ip_国家/地区_block.php，并创建了一个ip范围列表，他想阻止从服务器。问题是，这是一个略超过13,000 ips的列表。

阻止这些ips的最好方法是什么？我可以编写一个脚本来循环列表并将它们添加到iptables中，但这似乎是个坏主意。我可以将列表粘贴到DenyHosts中，但我不确定性能会如何。还有比这两种选择更好的选择吗？

有谁能给我一些建议吗？

Answer 1

使用ipset创建IP范围集(可能有脚本)，然后在iptables规则中使用--match-set。这种方式的匹配将非常有效，因为ipset是散列的。