Saya telah memblokir semua node Tor dengan perintah berikut:
sudo iptables -A INPUT -s $ip -j DROP
Saya percaya ada sekitar 1.700 IP blok seperti ini.
Saya telah membaca bahwa memblokir menggunakan perintah ini bisa lambat. Apakah ini benar dan jika demikian, apa alternatif yang lebih baik.
Jawaban:
Menurut Jan Engelhardt (salah satu orang aktif dalam kemasan kernel di komunitas OpenSUSE):
Batas atas teoritis jumlah maksimum aturan untuk lingkungan 32-bit adalah sekitar 38 juta
tetapi hambatan nyata dengan aturan besar itu adalah ingatan. Anda perlu memonitor memori /proc/vmallocketika Anda menerapkan aturan seperti itu untuk menghindari pertukaran yang akan banyak memperlambat komputer.
Seperti yang telah disebutkan, IPSet baik untuk mengelola aturan pemblokiran yang berlebihan, Anda dapat menetapkan aturan baru dan menghapus yang sebelumnya ditetapkan dengan cara yang efektif seperti:
# Create the new set and add the entries to it
ipset -N new-set ....
ipset -A new-set ....
...
# Swap the old and new sets
ipset -W old-set new-set
# Get rid of the old set, which is now under new-set
ipset -X new-set
Itu lambat, mungkin ok pada perangkat keras Anda untuk seperangkat aturan Anda. Alternatif yang lebih baik adalah dengan menggunakan aturan ipset dan iptables yang mereferensikan set. Ipsets menyimpan alamat dan jaringan dalam struktur data yang efisien yang jauh lebih cepat untuk mencari kecocokan dibandingkan dengan pemrosesan netfilter dasar.