我将多个/ 24个类中包含的几千个IP添加到CentOS盒中,因此我日夜扫描.由于这个服务器将是一个主力,它只需要在SSH(更改的SSH端口)和http / s上可用,我最终阻止了邮件端口和ping回复.这解决了http / s上的高响应时间,但iptables增加了服务器上的负载.
我正进入(状态:
top - 22:01:30 up 2 days,10:17,3 users,load average: 1.99,2.23,2.07 Tasks: 198 total,2 running,195 sleeping,0 stopped,1 zombie cpu(s): 1.0%us,5.1%sy,0.0%ni,85.0%id,0.0%wa,0.0%hi,8.8%si,0.0%st Mem: 16638532k total,2692948k used,13945584k free,206992k buffers Swap: 8193140k total,0k used,8193140k free,2093204k cached PID USER PR NI VIRT RES SHR S %cpu %MEM TIME+ COMMAND 7091 root 23 0 25704 23m 512 R 72.5 0.1 0:02.26 iptables 28507 root 15 0 10236 3308 2684 S 4.5 0.0 0:51.00 sshd
我怎样才能解决这个问题,因为服务器在做基本的事情时非常慢,比如通过SSH接受命令?我将在接下来的几个月中查看硬件防火墙,但在此之前,必须使用软件解决方案解决问题.
添加硬件防火墙. MIkrotik有很棒的新产品 – 严重,每个网络端口有2个内核,运行速度为1.2ghz.
在此期间,您可以尝试优化iptable规则.几乎就是它 – 如果规则处理需要花费很多时间,那么优化它们会更快.