[sisyphus] /etc/hosts.deny

[alexei на taf.ru]

----- Исходное сообщение -----
> От: "Gleb Kulikov" <glebus на asd.iao.ru>
> Кому: "ALT Linux Sisyphus discussions" <sisyphus на lists.altlinux.org>
> Отправленные: Среда, 10 Декабрь 2014 г 12:34:38
> Тема: Re: [sisyphus] /etc/hosts.deny

> В сообщении от [10 декабря 2014 Dmitry V. Levin] написал:
> 
>> Например, в openssh, начиная с версии 6.7p1, больше нет поддержки
>> tcp_wrappers.
>> 
>> Предлагаю использовать firewall, это будет надежнее и безопаснее.
> 
> йес.
> 
> ну, сделал генерацию правил iptables по hosts.deny. Докладываю результат:
> правила всасываются (11071 строка hosts.deny порождает 44282 правила) более 30
> минут. При этом LA на 3-х процессорной машине превышает 1.7, память льётся
> ведром. Отличная замена libwrap, ага.

Как-то очень хтонично у вас получилось.

Могу порекомендовать пару моментов:

1 - для случаев, когда правил больше 10, пользоваться efw смерти подобно.
просто генерите batch-файл в формате iptables-save

2 - чтобы не рисовать 100500 правил в iptables, можно красиво все оформить через
2-3 правила + ipset. Это, кстати, положительно скажется на сетевой отзывцивости системы
и на нагрузку процессора.