Как говорили в фидо, "потребности в колбасе сегодня нет".
Оно, разумеется, не смертельно. Я и сам могу изобрести велосипед подобный. Но если бы он был штатно в системе - было бы всяко удобнее.
Я не про установку, а про поддержку в инит-скриптах. Что бы можно было ipset'ом надобавлять подсетей, и после ребута они бы сохранились. Ну т.е. аналог /etc/sysconfig/iptables, /etc/sysconfig/network-scripts/route-eth*
Мелочь, а неприятно - в центосе нет штатно поддержки в инит-скриптах ipset'а, скрипты городить надо, что бы оно поднялось после перезагрузки
Ну изначально вопрос был можно ли сделать через route? Ответ был что таки да, в принципе можно.
Но best practice, безусловно, ipset
В сообщении #11 я упомянул про ipset.
Но если про него не знать или по каким то другим причинам не хотеть/не иметь возможности им пользоваться, то блокировка через route вполне себе работает.
По производительности ipset vs route не сравнивал. Хотя интересно было бы померить на больших объемах.
ну раз начал - таки объясни что не нравится.
убедишь что делаю глупость - скажу спасибо и больше так делать не буду.
но пока опыт подобного бана показывает, что оно дает существенно меньше нагрузку на cpu, чем бан одиночными iptables'овыми правилами.
что не нравится? прекрасно блочит
Ну если не знать про iptables sets, а необходимо заблокировать большое количество ip адресов, то блокировка через route работает быстрее, нежели блокировка каждого адреса по отдельности через iptables.
блокировать можно такой командой:
ip route add блокируемый_адрес via 127.0.0.1
стучи в icq/скайп если еще актуально, разберемся
Согласен. Твое решение изящнее и корректнее.
find . -type f -name qq -exec dd if=/dev/null of='{}' \;
