как вы определяете эти 30-34Mb для каждого сайта?
по mod_status что-ли оцениваете? (т.е. какие апачи над какими сайтами работают).
если сайты полностью статика - можно отдавать ее напрямую, вообще убрав
проксирование к апачу.
вы таки организуете ddos-атаки? :) стоимость не зависит от размера
атакующего ботнета, количества льющегося трафика?
вопрос был именно о стоимости атаки нападавшему, Andreyka "высказался"
в обычной манере случайной реплики. к сожалению, совершенно не в тему
для данного случая :D
Мда. Только не механизм для обеспечения безопасности.
chroot проектировался для тестирования и отладки, вообще-то.
"chroot is not and never has been a security tool" (c)
Вы, судя по всему, о стоимости защиты речь повели. Не о том...
Именно что, вполне конкретный вопрос - цена, уплоченая атакующим
ради того, чтобы забить канал к серверу паразитным трафиком.
Вполне себе существует. Только DDOS бывают разные.
5k вполне средний сервер может переварить. Вливать надо порядка
50Mbps, чтобы защита на уровне сервера смысла не имела. Естественно,
предполагается что сервер сидит на 100Mb/s full-duplex (достаточно стандартно).
Для сотовых операторов - это действительно может быть проблемой. Кроме
whitelist - других решений особо и нет. Насколько точны такие базы, как они
составляются - вопрос отдельный.
Кому критичны NAT-пользователи - это учитывают. Однако, очевидно, что
ни nginx ни iptables к этому непосредственного отношения не имеют.
Изначально в топике была задача фильтрации пионерской атаки. Понабежали
гуру - предлагать фильтрацию на стороне. Главный вопрос - зачем?
Сколько стоит 50Mbps DDOS? 100Mbps? Час? День? Неделя?
Оба IP управляются ISPmanager ? Штука в том, что DNS-сервер должен
давать одинаковые ответы с первого и второго IP.
Если он настроен слушать _все_ IP сервера - так должно и быть. Попробуйте просто
перезапустить DNS-сервер.
PS: Если сервер нужен для _пары_ сайтов - вполне разумно не ставить
панель управления. Это более чем лишняя сущность. Кроме того, почту и
DNS - можно оставить на виртуальном хостинге. Обращайтесь, настроим.
Такие штуки делаются как раз неспециально :(
И да, у Вас, видимо, тоже все еще впереди :)
Неа.. Так опечататься уже гораздо сложнее.
Каждый админ должен минимум раз запустить rm -rf /
Без этого - никакой он не админ.
Так что ТС еще предстоит сделать этот шаг к совершенству :D
с клиентами дружить все стараются, дурных нема - вопрос в цене дружбы
