[Sysadmins] iptables performance
Andriy Khavryuchenko
=?iso-8859-1?q?akhavr_=CE=C1_khavr=2Ecom?=
Пн Апр 14 15:57:10 MSD 2008
Денис Смирнов написав(ла):
> On Mon, Apr 14, 2008 at 02:39:16PM +0300, Andriy Khavryuchenko wrote:
>>> В этом случае имхо эффективнее не просто блочить, а, например,
>>> использовать TARPIT из PoM.
> AK> Разница несущественная, т.к. *размер* атакующего ботнета больше, чем
> AK> "просто так" переваривает iptables. Вне зависимости от того, куда этот
> AK> ботнет -j
>
> Можно написать свой генератор правил для iptables, который будет помнить
> про такую замечательную вещь как "двоичное деление". За счет этого можно
> даже при очень больших таблицах обойтись ну никак не тысячами сравнений.
Ммм.. Не понял. Разложить этот (достаточно случайный) набор ip адресов
в binary tree правил iptables? Это ж сколько цепочек будет :)
--
> > We have System/XFree86 group but not XFree86 itself. A bug?
> еще какой. должно быть System/X
заменить нельзя добавить?
-- ldv in #5372
Подробная информация о списке рассылки Sysadmins