我们对外发包裹使用白名单,并丢弃所有其他包裹:
Chain OUTPUT (policy DROP)
pkts bytes target prot opt in out source destination
113K 341M ACCEPT all -- * * 0.0.0.0/0 10.0.0.0/8
380 19509 ACCEPT all -- * * 0.0.0.0/0 127.0.0.0/24
不幸的是,服务器上的某些“东西”现在尝试访问其他IP(例如不在白名单上的12.34.56.78)。这些请求需要10秒钟才能超时,因此会减慢服务器上的所有应用程序的速度。
我们如何绕过呢?
一种解决方案是重定向而不是DROP。重定向到一个简单的服务/容器(在毫秒内显示“禁止”)将加快一切。
我们如何重定向不在白名单中的软件包?
也欢迎使用iptables以外的其他解决方案。