- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В общем у многих в цепочке INPUT порой накапливается не мало записей DROP.
Скажите какой число этих "дропов" актуально для нормальной работы сервера? Есть ли золотая середина?
Понятно что при каждом добавление в цепочку правила, IP будет как бы проверятся и понятно что чем больше тем не желательней. Но все же хотелось услышать цифры при которых количество записей могут начать влиять на отклик сервера (или еще на что-то).
PS Понятно что ответ будет приблизительный (скажем мол с 500-1000). Но желательно услышать все же мнение опытных людей. Так как догадки у меня у самого разные есть.
В общем у многих в цепочке INPUT порой накапливается не мало записей DROP.
Скажите какой число этих "дропов" актуально для нормальной работы сервера? Есть ли золотая середина?
Понятно что при каждом добавление в цепочку правила, IP будет как бы проверятся и понятно что чем больше тем не желательней. Но все же хотелось услышать цифры при которых количество записей могут начать влиять на отклик сервера (или еще на что-то).
PS Понятно что ответ будет приблизительный (скажем мол с 500-1000). Но желательно услышать все же мнение опытных людей. Так как догадки у меня у самого разные есть.
лучше пытаться создавать отдельные цепочки и уже в них задавать правила, что бы не все пакеты фильтровались списком правил, а какие-то заранее отобранные. то есть строить древовидную структуру.
хотя у меня в правилах было 15000 строк - тормозов не замечал (только при инициализации).
По-моему тысяча и даже десять тысяч - это фигня. Вы делайте первым правилом пропуск трафика на основе трекера соединений (state RELATED,ESTABLISHED). Тогда основной полезный трафик проходит прямо.
На крайний случай в линуксе есть ipset. Но там ядро нужно перекомпилировать.
И еще, загрузка правил из скриптов - не тру. Тру это iptables-save и iptables-load.
PS Понятно что ответ будет приблизительный (скажем мол с 500-1000). Но желательно услышать все же мнение опытных людей. Так как догадки у меня у самого разные есть.
На сервере centos 5.1 железо P4 1Gb Ram - после 20 тыс записей DROP наблюдались тормоза процессора а именно высокий уровень загрузки из-за обработки softirq.
Так что не советую держать в таблицах больше 10 -15k записей - это уже начинает ощутимо влиять на производительность сервера.
Благодарю всех за информацию!
Теперь хоть есть на что ориентироваться
Для большого drop есть более другие решения
Для большого drop есть более другие решения
Сказали а - говорите и б :)
Я вот, признаться, как-то не очень понимаю - 10к правил в фаерволе, 15к... Это как? Это куда?
Я не могу себе представить ситуацию, когда такое может реально понадобиться. Резать доступ по географии? Агрегируйте по сетям.
Outsourcenow, например самодеятельная защита от школьного ддоса.
Outsourcenow, например самодеятельная защита от школьного ддоса.
М-м-м-м-м... Исключительно колхозное решение, если его приходится применять - в консерватории что-то не так.
Имеет право на жизнь, но ниразу не в таких масштабах.
Outsourcenow, не все родились в синих пеленках от cisco. люди применяют решения, которые лучше всего им знакомы. так что лучше помогите материально (c) ;)