forum.opennet.ru

"OpenNews: Эффективное блокирование тысяч IP в Linux"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

"OpenNews: Эффективное блокирование тысяч IP в Linux"	+/–
Сообщение от opennews (?), 04-Июл-07, 18:33
В статье "Filtering traffic based on thousands of IPs efficiently (http://www.debian-administration.org/articles/540)" рассказывается о программе nfqueue (http://nfqueue.sf.net), которая работает на пользовательском уровне и использует NetFilter библиотеку netlink-queue. Nfqueue позволяет значительно повысить эффективность блокирования десятков тысяч IP, не требуя при этом накладывания дополнительных патчей, как происходив в случае с ipset (http://ipset.netfilter.org/). При тестировании, загрузка 70000 обычных правил заняла около часа, в то время как nfqueue (http://nfqueue.sf.net) почти мгновенно подгружает большие cписки блокировки, оформленные в p2p, dat, csv форматах или преобразованные в специальный сжатый бинарный вид. URL: http://www.debian-administration.org/articles/540 Новость: https://www.opennet.ru/opennews/art.shtml?num=11286
Ответить \| Правка \| Cообщить модератору

Оглавление

OpenNews: Эффективное блокирование тысяч IP в Linux, opennews, 04-Июл-07, 18:33 [смотреть все]

А для чего это нужно , ФФ, 04-Июл-07, 18:33 (1) //
- В теории можно управлять доступом на уровне приложений например, allow from , const86, 04-Июл-07, 18:47 (2)
- А может для защиты от DDOS-атак , serg1224, 04-Июл-07, 20:47 (4)
- Например адреса ботнетов блокировать на уровне фаервола, чтобы ресурсы MTA не съ, uldus, 05-Июл-07, 10:52 (17)
- Для хардкорного фильтрования по куче правил Скажем поищите файлик для емуля ipfi, etc, 25-Июл-07, 23:35 (50)
сложно представить реально зачем если сервера приложений стоят в ДатаЦентре и , ФФ, 04-Июл-07, 18:55 (3) //
- тебя послушать так в датацентре и работать серваку незачем А нафига, если вокруг, _Nick_, 04-Июл-07, 22:26 (7) //
  - Если сетевики не нормальные - халявщики, то они всё спускают до системных админи, medioom, 05-Июл-07, 16:01 (32) //
    - Кого ваши разборки сетевиков и админов волнуют, а Вещь безусловно полезная И поз, etc, 25-Июл-07, 23:42 (51)
теоретически можно использовать как часть интеллектуального IPS против DDoS, но , alteleid, 04-Июл-07, 20:47 (5) //
- не всегда стоимость и деревянность железаных средств являются приемлемыми , _Nick_, 04-Июл-07, 22:28 (8) //
  - Всегда, если речь идет о scalability и performanceДискуссия закрыта , alteleid, 04-Июл-07, 23:20 (9) //
    - Ага, ну конечно Смотрите, дети, вот еще один представитель вида животных есть 2, etc, 26-Июл-07, 03:02 (52)
- Кажется, при последнем DDoS наш пров упоминал какую-то байду за 180K, если не п, gvy, 05-Июл-07, 01:48 (11) //
  - вовомало какая проблема требует просто тупо вкладывать бабло Чаще просто головой, _Nick_, 05-Июл-07, 01:50 (12) //
    - Все просто, если ваша сеть не стоит этих 180К не много, кстати, магистральное о, alteleid, 05-Июл-07, 14:21 (26)
      - Если не заметили -- упоминалось про _нашего_ а не наш ISP Он ни разу не бесп, Michael Shigorin, 05-Июл-07, 15:56 (31)
        
        а что такое _нашего_ а не наш ISP Я честно не понял , alteleid, 05-Июл-07, 16:12 (33)
        
        Ну в смысле те, кто нам тырнет провайдят Кстати, пока искал для них контакт за, Michael Shigorin, 05-Июл-07, 16:29 (34)
      - Угу, для CISCO это немного А для остальных - кому как Даже крупный бизнес сто ра, etc, 26-Июл-07, 03:08 (53)
сколько людей и сколько ресурсов неужеле нечего более стоящего придумать нельзя , Вова, 04-Июл-07, 21:09 (6)
C DDoS надо бороться на магистралях, но они наоборот заинтересованы в запредельн, universite, 05-Июл-07, 07:33 (13) //
- каждый хочет наи ть, _Nick_, 05-Июл-07, 08:01 (14) //
  - Ну дык в стране откатов живемcЪ , DXT, 05-Июл-07, 09:21 (16)
Хехе, смотрим в статью, на сайт программы - и видим, что обрааботка происходит в, nuclight, 05-Июл-07, 11:15 (18) //
- Аналогично, с вызовом программы на каждое правило и еще и печатью на stdout кот, nuclight, 05-Июл-07, 11:17 (19) //
  - да, защитник от ДДоСа в юзер-левеле это бред Но вот проблема добавления в фаерво, _Nick_, 05-Июл-07, 11:37 (21) //
    - А оно уже и так Как мне тут сейчас сообщили, iptables-save делает это за две ми, nuclight, 05-Июл-07, 12:14 (22)
      - Ну да, _Nick_, 05-Июл-07, 14:44 (27)
- А Linux netfilter ipset ИМХО, согласен что для такой задачи нужна аппаратная ж, devcoder, 05-Июл-07, 13:04 (23) //
  - Узость взглядов - хреново, да Такая задача в принципе возникает например у почти, etc, 26-Июл-07, 03:25 (55)
Если проверка всех этих 70000 правил делается простым перебором адресов, то эффе, bel, 05-Июл-07, 15:40 (29) //
- так ли это - можно легко узнать почитав доки упомянутых модулей в упомянутых сис, _Nick_, 05-Июл-07, 15:42 (30)
- скорее хеширование, exn, 05-Июл-07, 23:10 (39) //
  - Покажите мне хэш-функцию, эффективно работающую для IPv4 адресов Для таких случ, nuclight, 06-Июл-07, 10:20 (47) //
    - а я для других целей, применял поиск с двоичным приближением Сортируешь искомые , dsn, 06-Июл-07, 17:12 (48)
      - А поподробнее Что за метод Насколько быстро Скажем у тупого перебора отстойное с, etc, 26-Июл-07, 03:27 (56)
        
        google метод бисекцииЕсли в кратце - берётся элемент посередине уорядоченного , LonliLokli, 11-Янв-09, 22:00 (58)
        
        Тогда надо как-то дерево адресов ipv4 упорядочить в одномерный массив или послед, universite, 12-Янв-09, 03:17 (59)
почитав рассылку netfilter org на предмет проекта libnf-queue увидел, что просил, juni, 05-Июл-07, 21:59 (37)
ммм не пробовал такой объем, но pf должен вообще махом и грузить и обрабатыва, Moralez, 07-Июл-07, 04:17 (49) //
- sp bastion sudo time pfctl -f etc pf pf confpfctl -f etc pf pf conf all, guest, 02-Авг-07, 21:10 (57)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру