<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 11, 2024 at 5:24 AM <<a href="mailto:ubuntu-users-list@thomas.freit.ag">ubuntu-users-list@thomas.freit.ag</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Jerry,<br>
<br>
On 11.04.24 00:08, Jerry Geis wrote:<br>
> Seems once I have gotten past the "threshold" which I dont know how<br>
> many that is - network performance DROPS considerably with many IP's in the<br>
> list to drop<br>
> <br>
> The file to drop has at least 57000+ lines of IP addresses that have<br>
> attempted some kind of access to my servers. Either unwanted SSH, HTTP,<br>
> HTTPS or SIP.<br>
<br>
Handling large lists is costly and at some list size not feasible any more. A better<br>
scaling would be possible if you use IP sets. Switching from your lists to IP sets is<br>
not a big issue.<br>
<br>
I suggest <a href="https://kinvolk.io/blog/2020/09/performance-benchmark-analysis-of-egress-filtering-on-linux/" rel="noreferrer" target="_blank">https://kinvolk.io/blog/2020/09/performance-benchmark-analysis-of-egress-filtering-on-linux/</a><br>
as a good read. It covers a lot of Linux filtering possibilities very nicely.<br>
<br>
Another approach might be (depending on your usecase) to switch from list of IPs and networks to drop to<br>
a general drop policy and a list of IPs network to accept. However, it depends on how you get this kind<br>
of information and how you are able to manage these lists.<br>
<br>
hth,<br>
Thomas<br>
<br>
-- <br>
ubuntu-users mailing list<br>
<a href="mailto:ubuntu-users@lists.ubuntu.com" target="_blank">ubuntu-users@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-users" rel="noreferrer" target="_blank">https://lists.ubuntu.com/mailman/listinfo/ubuntu-users</a></blockquote><div><br></div><div>THanks All for the suggestions -  I did get ipset to work. </div><div>firewalld - took 20 minutes load all the rules and impacted - network performance</div><div>ipset loads all the same rules in 1 min 20 seconds - network performance is not impacted.</div><div><br></div><div>I did see "hints" that ipset may be going away - is there any truth to that ? I could not find anything definite ?</div><div><br></div><div>THanks</div><div><br></div><div>Jerry </div></div></div>