Защита от DDOS - всего 2 строки

Как именно быть с синами - я расскажу на следующей неделе, тогда будет тема раскрыта целиком

Кеш сайта хуже чем одна статичная страница отдаваемая по sendfile.

memcached использовать вообще лихо.

Зачем создавать еще большую нагрузку на ядро?

Метод предложенный в статье, aka "две строки" - не работает.

Он состоит из двух частей:

(1) добавление cookie nginx

(2) редирект в iptables при наличии нужной строки (модуль string)

Сумеете реализовать (2) ?

а работать оно будет, или как в этот раз ? ;)

лицорука.пнг

Да не работает такая схема, чо. Никак не работает :-)

Если что-то не работает - обращайтесь, у меня все работает

серьезно?

вы действительно беретесь утверждать, что

iptables -t nat -A PREROUTING -p tcp --dport 80 -m string --string "this-is-not-bot" --algo kmp -j REDIRECT --to-ports 8080

у вас редиректит "хорошие" запросы на 8080 порт?

без дополнительных правил iptables?

to: myhand

Че ты хош - Волшебник епта 😂

Я просто настрою, пусть тебя дополнительные правила не волнуют, самое важное - результат 🚬

И да, у меня все работает :p

Andreyka, эта строка не может работать ни при каких правилах. Если работает - настройте виртуальную машинку и выложите образ, а мы разберемся почему оно работает. Времени это займет немного.

Конечно понятно, что вы можете решить проблему по-другому, например правилами squid или nginx, но сам по себе факт публикации непроверенной информации огорчает. Да и весьма заманчиво было бы отбрасывать пакеты на уровне ядра.

именно дополнительные правила волнуют

без них ваш рецепт _не_работает_, _в_принципе_

покажите их, не стесняйтесь

как вариант - можем вам дать доступ в виртуальную систему (qemu)

ну, в общем-то - это статья для хабра - ничего удивительного :D