- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Что использовать предпочтительно с точки зрения скорости и ресурсов для бана ботов по ip. Вообще.
И в частности на примере:
Linux debian.
В блек листе ~3000 ip адресов прямых и около 100 по маске(NNN. NNN. NNN. NNN /NN).
Забаненные боты пытаются обратится по http примерно 300 раз в секунду.
Как лучше было бы добавить этих ботов?
Так:
ip route add blackhole NNN. NNN. NNN. NNN /NN
ip route add blackhole NNN. NNN. NNN. NNN
или так:
iptables -A INPUT -s NNN. NNN. NNN. NNN /NN -j DROP
iptables -A INPUT -s NNN. NNN. NNN. NNN -j DROP
Возможно, это зависит от настройки сервера? Какие ещё условия нужно знать для определения ответа не знаю. Если надо выложу.
Лучше ipset
Лучше ipset
почему ?
Кто из них троих ближе к "входу" ?
К примеру , на сервере используются все 3 способа. Мы забанили Ip всеми тремя. Кто первый его остановит?
для 3к без разницы, если больше то конечно ipset.
Я до 10к банил через iptables на средненьком сервере. Норм было. Но больше 10к не приходилось.
Я так понял, ipset лучше когда речь идет о нагрузке на процессор и только?
В чём ещё он лучше?
Вопрос также касается входящего трафика генерируемого забанеными ip адресами.
Думаю, даже забаненый бот генерирует какой то входящий трафик.
Какова разница между этими тремя способами?
Вопрос также касается входящего трафика генерируемого забанеными ip адресами.
Думаю, даже забаненый бот генерирует какой то входящий трафик.
Какова разница между этими тремя способами?
ну, так как я сам разобрался, сам отвечу.
А вдруг кому нибудь в голову тоже придёт этот вопрос.
В моём случае после ip route del blackhole внешний паразитный трафик уменьшился в сотни раз. Может даже в тысячи. Практически сошёл на нет.
По секундам не скажу, но в час было около 10-20 Гигабайт
А так всё понятно.
Всем спасибо за помощь!
для 3к без разницы, если больше то конечно ipset.
Я до 10к банил через iptables на средненьком сервере. Норм было. Но больше 10к не приходилось.
ТС спрашивал про сервер, интересует то же самое для VPS. Возьмем самые популярные VPS: OpenVZ 1 ядро, 512-1024Мб и XEN 1 ядро, 512-1024Мб. Сколько правил потянет iptables в каждом конфиге или хотя бы сколько он точно должен потянуть (100, 200, 500, 1к, больше), и что оптимальнее для этих VPS iptables или route?
ТС спрашивал про сервер, интересует то же самое для VPS. Возьмем самые популярные VPS: OpenVZ 1 ядро, 512-1024Мб и XEN 1 ядро, 512-1024Мб. Сколько правил потянет iptables в каждом конфиге или хотя бы сколько он точно должен потянуть (100, 200, 500, 1к, больше), и что оптимальнее для этих VPS iptables или route?
попробуйте да узнаете, несколько раз приходилось извращаться, после 3-5к правил начинаются лаги.
на openvz могут быть ограничения различного рода и изменить их нельзя без помощи хостера.
зачем на впс кого то банить?
ТС спрашивал про сервер, интересует то же самое для VPS. Возьмем самые популярные VPS: OpenVZ 1 ядро, 512-1024Мб и XEN 1 ядро, 512-1024Мб. Сколько правил потянет iptables в каждом конфиге или хотя бы сколько он точно должен потянуть (100, 200, 500, 1к, больше), и что оптимальнее для этих VPS iptables или route?
на openvz у вас вообще не будет доступа к фаерволу на большинстве хостингов.
на полноценной типа kvm 1 гб рам, 1 ядро проца, до 3-5к iptables -A INPUT -s NNN.NNN.NNN.NNN -j DROP осилит.
Я так понял, ipset лучше когда речь идет о нагрузке на процессор и только?
В чём ещё он лучше?
Вопрос также касается входящего трафика генерируемого забанеными ip адресами.
Думаю, даже забаненый бот генерирует какой то входящий трафик.
Какова разница между этими тремя способами?
Ipset это надстройка к iptables, с ним просто проще. Как то на дэдике наблюдал интересную активность в accsess.log на тот момент на стандартный 22 порт, поставил ipset и начал банить по подсетям, активность пропала. Может пригодится статья про ipset ☝