fail2ban 会减慢我的系统或 iptables 速度吗？

Question

我有一台服务器 (VPS) 提供以下服务：

• 电子邮件服务器（postfix/dovecot）
• DNS 服务器 (bind9)
• http 服务器 (nginx)

Fail2ban 在 iptables 中创建了很多条目，这导致服务器变得非常慢，甚至有时无法访问，我必须通过控制台登录并刷新 iptables 才能连接到服务器。使用过的监狱如下图：

• 入狱名单：dovecot, named-refused, nginx-botsearch, nginx-http-auth, nginx-limit-req, php-url-fopen, postfix, postfix-auth, recidive

95% 的禁令是由 postfix 监狱触发的。 我通过设置 recidive jail 减少了 iptables 大小： bantime = 7200 findtime = 3600 maxretry = 5 ，系统运行缓慢略有改善，但仍然不够。 我的问题：- fail2ban 是造成这种缓慢的原因吗？或 iptables 本身？在以前的项目中，我没有安装 fail2ban，我使用 iptables 有很多条目（比我实际 fail2ban 创建的条目更多）并且系统很快。

感谢任何关于如何处理这个 fail2ban 问题的建议。

Answer 1

他们俩都有责任。 Fail2Ban 监控您的日志 - 因此如果有大量日志记录，Fail2Ban 将不得不解析更多文本。 IPtables 对规则列表执行线性搜索——不可能使用二分搜索，因为这会破坏逻辑。所以规则越多 - IPtables 就会越慢。

您应该检查 /etc/fail2ban/jail.conf 中的 usedns 和 banaction 设置。 DNS 查询可能会很慢，您可能想尝试 iptables-ipset-proto4 而不是 iptables-multiport 作为操作。