[Sysadmins] iptables performance

Денис Смирнов =?iso-8859-1?q?mithraen_=CE=C1_altlinux=2Eru?=
Пн Апр 14 15:51:12 MSD 2008


On Mon, Apr 14, 2008 at 02:39:16PM +0300, Andriy Khavryuchenko wrote:
>> В этом случае имхо эффективнее не просто блочить, а, например,
>> использовать TARPIT из PoM.
AK> Разница несущественная, т.к. *размер* атакующего ботнета больше, чем 
AK> "просто так" переваривает iptables.  Вне зависимости от того, куда этот 
AK> ботнет -j

Можно написать свой генератор правил для iptables, который будет помнить
про такую замечательную вещь как "двоичное деление". За счет этого можно
даже при очень больших таблицах обойтись ну никак не тысячами сравнений.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20080414/f7480d9d/attachment-0002.bin>


Подробная информация о списке рассылки Sysadmins