除端口80之外，阻塞美国境外的所有连接是否会导致较高的服务器负载？

像大多数服务器（我认为）一样，我们有一些人试图以24/7全天候暴力破解我们的服务。我已经将cpHulk列入了他们的IP的黑名单，但是如果他们没有做到这一点，那似乎会更好。我和我的主机是唯一通过80以外的端口连接到服务器的主机，因此我想阻止除端口80之外的美国以外所有其他国家/地区的连接。我与我的主机联系以进行设置，但是他们犹豫不决，因为他们说这会产生异常高的服务器负载。这是一台专用的Xeon 1230服务器，具有32GB RAM，运行CentOS 6.6和iptables。

首先，有什么理由不这样做？其次，房东告诉我的内容正确吗？第三，有什么方法可以在不影响性能的情况下完成此任务？

设置特定规则以阻止每个IP范围（通过列出每个范围）是错误的方法。

在iptables中设置默认规则，以将所有流量丢弃到您的管理端口。然后添加规则，仅允许从您信任的IP（您和您的主机）进行访问。

默认情况下，将所有内容阻止为仅允许批准的流量，这通常被称为“明确拒绝所有人”，这被认为是最佳实践。在这种情况下，也确实有助于避免主机关注的性能影响。

为此，您必须添加成千上万的防火墙规则，每个规则对应一个网络块，而一个国家/地区可能与之关联的范围是一到数千个网络块。

收到请求时，必须针对每条规则进行检查，这将花费很少的时间来处理几十个甚至数百个规则，但是使用的规则数量却很多，（1）请求将大大减慢，并且（2）它将使用大量CPU。

在不显着影响性能的情况下执行此操作的方法是通过执行您已经在做的事情：仅阻止那些有问题的特定地址。

您需要的是一个名为ipsets的工具

IP集是Linux内核内部的一个框架，可以通过ipset实用程序进行管理。根据类型的不同，当前IP设置可能以某种方式存储IP地址，（TCP / UDP）端口号或带有MAC地址的IP地址，以确保将条目与该设置匹配时的闪电速度。

这里要注意的重要一点是闪电快！那是因为大量的ip网络可以用一个散列而不是几百或几千行iptables规则来表示。

对于屏蔽国家，请参见以下示例：

忽略是否​​以这种方式进行操作是一个好主意，您可以使用iptables的GeoIP模块来完成您所要求的操作。

经过建设和安装模块（并保持你的IP列表每月更新一次），你可以做这样的东西来阻止个别国家：

iptables -I INPUT -m geoip --src-cc CN -j DROP

--src-cc US -j ACCEPT如果您想指定要保留的国家或地区，请使用，等等。

如果您想保留从任何地方进行连接而无需维护地理位置黑名单/白名单的能力，则可以实施port-knocking。这将停止大多数自动尝试，同时允许您仍然从任何地址进行连接。

注意：请勿将端口敲到打开的旁边，否则顺序端口扫描将激活您的规则。

偶尔您的堆栈中有一两个支持BGP的路由器，并且对您正在做的到底有什么想法/与知道他们正在做什么或正在做的事情的人一起工作也许在DDoS预防提供程序足够强大以帮助实现此目标的背后，有一种相对较新的方法将流量限制到地理区域，称为选择性黑洞，我认为值得一看。

https://ripe68.ripe.net/presentations/176-RIPE68_JSnijders_DDoS_Damage_Control.pdf

http://mailman.nanog.org/pipermail/nanog/2014-February/064381.html

http://www.internetsociety.org/deploy360/blog/2014/07/video-selective-blackholing-at-ripe-68/

由于此方法可以处理路由，因此可以绕开任何服务器负载问题。