Что лучше iptables или ip route add blackhole ?

Лучше ipset

почему ?

Кто из них троих ближе к "входу" ?

К примеру , на сервере используются все 3 способа. Мы забанили Ip всеми тремя. Кто первый его остановит?

для 3к без разницы, если больше то конечно ipset.

Я до 10к банил через iptables на средненьком сервере. Норм было. Но больше 10к не приходилось.

Я так понял, ipset лучше когда речь идет о нагрузке на процессор и только?

В чём ещё он лучше?

Вопрос также касается входящего трафика генерируемого забанеными ip адресами.

Думаю, даже забаненый бот генерирует какой то входящий трафик.

Какова разница между этими тремя способами?

ну, так как я сам разобрался, сам отвечу.

А вдруг кому нибудь в голову тоже придёт этот вопрос.

В моём случае после ip route del blackhole внешний паразитный трафик уменьшился в сотни раз. Может даже в тысячи. Практически сошёл на нет.

По секундам не скажу, но в час было около 10-20 Гигабайт

А так всё понятно.

Всем спасибо за помощь!

ТС спрашивал про сервер, интересует то же самое для VPS. Возьмем самые популярные VPS: OpenVZ 1 ядро, 512-1024Мб и XEN 1 ядро, 512-1024Мб. Сколько правил потянет iptables в каждом конфиге или хотя бы сколько он точно должен потянуть (100, 200, 500, 1к, больше), и что оптимальнее для этих VPS iptables или route?

попробуйте да узнаете, несколько раз приходилось извращаться, после 3-5к правил начинаются лаги.

на openvz могут быть ограничения различного рода и изменить их нельзя без помощи хостера.

зачем на впс кого то банить?

на openvz у вас вообще не будет доступа к фаерволу на большинстве хостингов.

на полноценной типа kvm 1 гб рам, 1 ядро проца, до 3-5к iptables -A INPUT -s NNN.NNN.NNN.NNN -j DROP осилит.

Ipset это надстройка к iptables, с ним просто проще. Как то на дэдике наблюдал интересную активность в accsess.log на тот момент на стандартный 22 порт, поставил ipset и начал банить по подсетям, активность пропала. Может пригодится статья про ipset ☝