forum.opennet.ru

"OpenNews: Новая версия пакетного фильтра для Linux - iptables 1.4.0"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Новая версия пакетного фильтра для Linux - iptables 1.4.0"	+/–
Сообщение от Nick (??), 30-Дек-07, 23:57
>Ой, и вы ЭТО называете красивым и элегантным решением?! Угу >Это же жуткий >костыль. Начать с того, что следует организовывать вообще схему фронтенд/бэкенд (необязательно >на одной машине). Если уж у вас такие DoS'ы, с которыми >справляется ядро. кому следует орагнизовывать схему - тот организовывает схему. А кому следует не принимать новый запрос в систему если загрузка выше нормы - тот не принимает запрос. >Далее, писать модуль ядра для отслеживания загрузки чего-то в юзерлэнде - это >криво. загрузка системы пока что понятие одно на систему. А не на ядро или на юзерлевел. "загрузки чего-то в юзерлэнде" звучит неразумно. >Такие вещи следует в юзерлэнде же и отрабатывать, вообще неразумно. Управлять user-level'ом из него же - ненадежно. >выдавая команду файрволу, который, кстати, может находиться на другой машине, равно как и >анализатор (на сервере же только датчики). о какой команде ФАЕРВОЛУ идет речь? Мне кажеться Вы не уловили суть в принципе... >В ядре отслеживать, что конкретно >не нравится процессу - слишком сложно. :)) улыбнуло. Вообще-то это и есть задача ядра: отслеживать все что кому нравится и что нет. Наиболее эффективно управлять как минимум траффиком и процессами - из ядра. >Наконец, когда решением предлагается _написать_ модуль ядра (!) - тут уже лицемерно >говорить, что в одной ОСи это можно сделать, в другой нет предполагается отсутствие даунтайма на загрузкку нового ядра. Netfiler модуль вставляется находу. Если PF умеет это же - тогда все описанное может и он. Собственно, в этом был вопрос. >- специалист, на такое способный, сделает для любой, средства есть. неспециалист сидит дома или учится >Другое дело, что это может быть невозможно даже при наличии специалиста - >например, когда ДДОСили bash.org.ru, они не имели возможность поменять на машине >netfilter на nf-hipac - тупо из-за VDS (решили доморощенным аналогом). >Да, хостер был плохой (потом сменили), да, отслеживание и перекрытие DoS'ов вообще задача хостера дык, под такой проект, ессьно, нужен лишь выделенный сервер с возможностью менять в системе по желанию что угодно. >Отсюда, кстати, видно, что предложенный к написанию модуль тем более хуже - >сыграет на руку DDoS'у, дропая, возможно, вполне легитимные коннекты - не >те критерии ибо. расширьте сознание. Предлагаемый модуль НЕ дропает ничего. Он умеет отслеживать загрузку. И именно в связке с другими методами ограничения дает неплохие результаты.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

OpenNews: Новая версия пакетного фильтра для Linux - iptables 1.4.0, opennews, 26-Дек-07, 14:19 [смотреть все]

ключ -table в iptables-restore недавно нужен был, ток подумал и тут новость , valfrom, 26-Дек-07, 14:30 (4)
есть слова с pf не сравнится , V, 26-Дек-07, 14:48 (6) //
пакетный фильтр в случае ДоС как раз и спасает,особенно pf с лимитами , Аноним, 26-Дек-07, 17:53 (20) //
- Особенно, когда DoS ят Апач, вызывая динамический контент Загрузка проца взлета, Andrew Kolchoogin, 26-Дек-07, 21:51 (23) //
  - у нормальных людей опач работает бэкэндом А такую паразитную активность весьма , Дохтур, 26-Дек-07, 22:17 (26) //
    - И что Он от этого как-то сильно меньше CPU Time кушать начинает Exponen, Andrew Kolchoogin, 27-Дек-07, 01:37 (34)
      - Да с cpu time не проблема Опач обычно в prefork гоняют, так что чаще упираешься, Аноним, 27-Дек-07, 10:56 (51)
        
        Согласен Далеко не всегда В большинстве случаев, с которыми мне прих, Andrew Kolchoogin, 27-Дек-07, 18:13 (68)
    - Пакетный фильтр вас не спасет при DOS-е службы Уж слишком низкий может оказатьс, Nikolay, 27-Дек-07, 05:29 (41)
      - index php ещё, как правило, переживаемо А вот index pl может уже на 50 запр, Andrew Kolchoogin, 27-Дек-07, 09:23 (45)
        
        ОФФ Andrew Kolchoogin, респект за грамотную дискуссию Кое-что открыл для себ, Аноним, 27-Дек-07, 10:17 (47)
        
        Андрюша, хватит уже отвешивать себе комплименты с помощью виртуалов - смотреть п, гость, 27-Дек-07, 12:16 (54)
        
        Так и до дурки не далеко гоЗть - хорош трепаться - санитары идут , Ну а по те, Аноним, 27-Дек-07, 18:05 (66)
        
        Не надо наезжать на Perl, ибо связка mod_perl Apache дает очень хорошую произв, Antrew, 27-Дек-07, 11:21 (52)
        
        Упаси меня Ларри наезжать на Perl Просто PHP-интерпретатор легче перлового , Andrew Kolchoogin, 27-Дек-07, 18:29 (71)
        
        впику Вашей нелюбви к Netfilterпроблема DoS на вебсервис и границы синов далеки, Nick, 28-Дек-07, 09:36 (99)
        
        могу ошибаться -- но как мне думается тут и писать ничего не придётсяпроблему мо, pavel_simple, 28-Дек-07, 10:37 (102)
        дописать модуль к тому же apache, чтоб он рулил этой политикой, тогда можно хоть, Аноним, 28-Дек-07, 21:42 (109)
        
        кроме апача источников нагрузки бывает немало, Nick, 30-Дек-07, 23:40 (119)
        
        Ой, и вы ЭТО называете красивым и элегантным решением Это же жуткий костыль Н, nuclight, 30-Дек-07, 22:42 (118)
        
        Угукому следует орагнизовывать схему - тот организовывает схему А кому следует н , Nick, 30-Дек-07, 23:57 (120)
Наш новый гуру нам все объяснил Как же он смог подняться на такие высоты После , KdF, 27-Дек-07, 15:17 (57) //
- Извините за оффтоп, но в 1110 такими выпадами похожи на журналиста желтой прес, Аноним, 27-Дек-07, 17:36 (59) //
  - Да хоть всё сразу Мне приятно ощущать свою уникальность в антиобщественности, Andrew Kolchoogin, 27-Дек-07, 18:01 (64)
  - Может быть я и есть журналист желтой прессы, откуда вам знать А завтра напишу ст, KdF, 27-Дек-07, 21:02 (78)
- Кроме IT, в мире есть ещё много увлекательных наук Химия, например Или математ, Andrew Kolchoogin, 27-Дек-07, 18:00 (63)
KdF, спасибо посмеялся Гугл очень силен Хочется вериться, что Andrew Kolchoog, Mikhail, 27-Дек-07, 17:01 (58) //
- Да, Гугль про меня много разного рассказывает Абсолютно Химия и физи, Andrew Kolchoogin, 27-Дек-07, 18:03 (65) //
  - Замечательная дискуссия Андрей - вопрос, если можно Где учат кошерной работе с, sash, 27-Дек-07, 21:03 (79) //
    - Да вот, здесь, на OpenNet е Если, конечно, отфильтровывать гон от дискуссий, Andrew Kolchoogin, 28-Дек-07, 01:51 (93)
  - И еще вопрос Вы действительно где-то используете RSVP , sash, 27-Дек-07, 21:05 (80) //
    - Нет, конечно , Andrew Kolchoogin, 28-Дек-07, 01:51 (94)
мда, виртуальные интерфейсы по прежнему не поддерживаются , yurii, 28-Дек-07, 01:48 (92) //
- пардонпоясните что именно не поддерживается , Nick, 28-Дек-07, 09:39 (100) //
  - видимо он имел ввиду отсутствие возможности написать iptables -i eth1 1 , я, 09-Янв-08, 13:09 (121) //
    - а ну так это ж не отдельный интерфейс, и даже не виртуальный это просто labe, Nick, 09-Янв-08, 15:54 (122)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру