それらがどのように書かれているかによります。はい、2400ルールは、不適切に実装された場合、システムを機能不全にする可能性があります。トラフィックルールは、一般的な帯域幅の使用量に基づいて作成する必要があります。
例:確立された関連を受け入れることはほぼ#1である必要があります。ipsetをiptablesと組み合わせて使用すると、多数の悪意のある行為者をブロックする必要がある場合にもパフォーマンスを向上させることができます。 ipsetを介したiptablesブラックリストはルール#2である必要があります。次のルールグループは、環境に応じてipsetブロックリストに追加する必要があります。
各タイプのパケットの帯域幅使用量を計算し、ルールを最高帯域幅から最低帯域幅の順に並べます
より多くのトラフィックがより多くのルールにヒットすると、かなり遅くなります。 2000ルール×毎秒50,000パケットは、多くのコンピューターを不自由にします。
2,000*50,000pps= 100,000,000 compares per second is very hard on the cpu.
2,000*1pps = 2,000 compares per second is easy.