iptables 性能如何？

源站前套一个 nginx 然后把 CDN 的回源服务商 ip 加到白名单，何必用 iptables 做。

@smileawei 我已经这样做了，但是躲不住扫全网 ipv4 443 抓证书，censys 和 myssl 都能查到这样的站的源 ip
所以要用 iptables drop 所有除了 cdn 的链接。

iptables 就是在 netfilter 里加规则，netfilter 是内核自己带的，就看你规则怎么写了。

@mason961125 规则打算就是 443 端口 whitelist cdn 的 ip，其余的 drop，会消耗 cpu 很多吗

@alvin666 #4 不会啊，规则不匹配就直接 drop 了哪来的消耗呢。

@alvin666
用 nginx 做不很简单？回源加到白名单
至于抓证书的，随便自己签一个证书，默认都指向这个自签证书就好了就好了

@des 我也做了...
但是还是感觉不太放心，如果我是攻击者，源 ip 被我从其他地方知道了（如 xss ）我在 hosts 里面设置域名指向源 ip，然后访问，也能抓到包含域名的证书
所以要么源站 http 要么 iptables drop cdn 以外的 ip

感觉 netfilter 比 ng 效率高才对嘛，毕竟在内核就过滤了啊

@mgcnrx11 对的，这样 ng 也不用过滤了

https://blog.cloudflare.com/how-to-drop-10-million-packets/

楼主可以看下 cloudflare，iptables 比应用上丢强点，但是它上了 eXpress Data Path， 每秒能丢 10M 个包。 iptables DROP in PREROUTING 是 1.688mpps。

@uyhyygyug1234 谢谢，一会有空我看看
我套的就是 cf 2333

可以用 ipset 配合 iptables，效率会更高点。

你试试不就知道了，用工具生成流量
应该是没问题的