Влияние количество записей DROP в iptables

Я на память не вспомню, но там был модуль который сжирал все ip, компилировался и сразу втыкал эти ip в оперативку.

На нагрузке в 100+кппс заметно даже одно-два правила. Но для хостинга это не актуально ;)

Вообще, если сильно интересно - можно потыкать в ядро профайлером. Но для этого его скорее всего придётся пересобрать.

P4D 2Gb RAM держал 7000 DROP'ов но далее были весьма ощутимые накладные расходы, к слову на этом серванте еще крутился апач и мускул :)

Ужос!!! 7000 дропов, а склоько правил всегооо О_о =) в условиях домовой сети это смерть "домовятам", sysctl, какой там трафик летал если не секрет? килобайт 100?

Например, жалко $2500/мес. за аренду одного сервера с фильтрацией?

По mrtg сервак отдавал около 6 мегабит, порт 10-ка. Всего правил было 7000 + штучек 10 стандартных, 7к это как видите не предел вон у некоторых в постах 10к-15к 😎

P.S. Насчет "колхозности" решения: от простого http флуда это дело помогло, бюджет был 0,0$ 😆 Хотя конечно если бы флудерасты были поумнее, то с такими мощностями могли бы нагнуть сервак за пару кликов.

+1 Не понимаю зачем столько записей :)

kxk добавил 08.11.2008 в 06:02

Lupus, 2500$ и с каким простите портом или это 100 мбит анлим, один из последних ксеонов и ещё в ДЦ где-нибудь в Амстердаме или Чехии с новой циской и админом в подарок?

география + выделенные адреса, к географии не относящиеся.

не совсем понимаю что вы вкладываете в понятие "Агрегируйте по сетям".

если это уменьшение количества сетей за счет склейки соседних и удаления вложенных - то конечно это делалось. например список российских сетей c райпа > 100000 сжимается в ~ 3000 правил

Давеча ставил сервачок на gigeservers. $2200 фильтрация трафа, за сервер отдельная плата - какой выберешь. Траф считается после фильтра. DDOS отрезало начисто.

FreeBSD, PF.

Таблицы работают на два-три порядка быстрее, чем набор последовательных правил.