- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
myhand, не могу сравнивать с route, но у iptables при 60-70к правил - сервер уходит в полный ступор. Тут же ipset не создаёт никакой нагрузки.
С ipset я и не сравниваю.
Хотя, к Вам тоже вопрос про использование -m state. Только что создал 60к правил - все более чем живо.
Мелочь, а неприятно - в центосе нет штатно поддержки в инит-скриптах ipset'а, скрипты городить надо, что бы оно поднялось после перезагрузки
С ipset я и не сравниваю.
Хотя, к Вам тоже вопрос про использование -m state. Только что создал 60к правил - все более чем живо.
Может надо что бы ещё правила работали, pkts - ip , а если просто пустых наплодить то и 100 к будет работать. "живо"
madoff добавил 17.11.2011 в 15:13
Мелочь, а неприятно - в центосе нет штатно поддержки в инит-скриптах ipset'а, скрипты городить надо, что бы оно поднялось после перезагрузки
Ну вроде Centalt в этом плане ( стабилен ) - подключая его можно устанвоить без проблем.
Я не про установку, а про поддержку в инит-скриптах. Что бы можно было ipset'ом надобавлять подсетей, и после ребута они бы сохранились. Ну т.е. аналог /etc/sysconfig/iptables, /etc/sysconfig/network-scripts/route-eth*
Может надо что бы ещё правила работали
Что значит "работали"? Естественно, они работают - в том смысле что учитываются при прохождении трафика. Все 60k. Пакет будет отклонен, если попадает в одно из правил.
Я не про установку, а про поддержку в инит-скриптах. Что бы можно было ipset'ом надобавлять подсетей, и после ребута они бы сохранились.
Не надо такого в общем случае.
Ну а если _очень_ надо это делать автоматически - вокруг --save/--restore несложно и скрипт сочинить. Заказывайте - сделаем.
PS: Есть готовые rpm-ки (я видел для федоры) с нужными Вам init-скриптами.
С ipset я и не сравниваю.
Хотя, к Вам тоже вопрос про использование -m state. Только что создал 60к правил - все более чем живо.
-m state не было. Были стандартные:
-A INPUT -s <ip> -j REJECT к примеру.
Точное количество не помню, но помню хорошо последствия. Да и вопрос ещё в нагрузке сервера и количестве пакетов, которые на него идут. При достаточно сильном ДДОС'е сервер валялся при таком количестве правил. Когда Ipset даже "не чихал".
-A INPUT -s <ip> -j REJECT к примеру.
REJECT уже делает дополнительные телодвижения, по сравнению с DROP.
Точное количество не помню, но помню хорошо последствия.
Ну, уже больше похоже на правду. У некоторых проблемы начинаются куда раньше 50k и связаны они далеко не с тучей "тупых" правил, типа приведенного а с работой совсем других модулей.
Про REJECT в курсе.
Скорее тут смысл в количестве "перевариваемого" трафика. Если к серверу ничего не идёт, то и 100к может быть не страшно.
А вот при ДДОС с такого количество ip (там в итоге подсетей около 80к было заблокировано через ipset, т.к. отдельных ip было просто ужас как много) уже нагрузка от iptables была просто дикой.
ну вот я сейчас сравнил.
1. добавил 7к правил типа -s ip -j DROP - softirq стали жрать 50% проца
2. сделал около 15к правил ip route add blackhole ip - загрузка около 0
3. сделал примерно столько же правил через ip route add ip via 127.0.0.1 - softirq около 3%
4. сделал таблицу около 60к ипов в ipset - загрузка 0
трафик со всех этих ипов есть
michaek, я примерно об этом же.