forum.opennet.ru

"OpenNews: Новая версия пакетного фильтра для Linux - iptables 1.4.0"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Новая версия пакетного фильтра для Linux - iptables 1.4.0"	+/–
Сообщение от Nick (??), 28-Дек-07, 09:36
впику Вашей нелюбви к Netfilter проблема: DoS на вебсервис и границы синов далеки до реакции, а апач, как выше выразилиьсь, доедает своп... Что делать BSD админу - неизвестно. А вот в Линухе проблема имеет вид даже некоторого решения. Пишеться модуль, который в зависимости от нагрузки на CPU и/или винта и/или память, принимает или дропает пакет, собирается для текущего ядра и загружается в него. Аналогичный модуль-собрат пишется и для user-level iptables тулзы. Все границы/лимиты задаются параметрами этого user-level модуля из команды iptables. Зависимость на род нагрузки исчезает. Это может быть сколь угодно плохой и неоптимальный пользовательский код. В результате: можно вести разговор о дропе новых соединений, если загрузка системы и/или этих 3-х подсистем выше заданной. А также, совмещать эти лимиты с другими сетевыми ограничениями. На практике получается более чем красивое и элегантное решение. Например: в зависимости от нагрузки (уровни нагрузки: 5-10, 10-20, 20-30...) регулируется количество одновременных коннектов из /24 сетки (например: 50, 30, 10...). И даже глубина битности измеряемых сетей: /24, /25, /26.... В результате имеем более равномерное распределение мощностей системы между клиентами в условиях DoS'a. Чем бы порадовал PF?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

OpenNews: Новая версия пакетного фильтра для Linux - iptables 1.4.0, opennews, 26-Дек-07, 14:19 [смотреть все]

ключ -table в iptables-restore недавно нужен был, ток подумал и тут новость , valfrom, 26-Дек-07, 14:30 (4)
есть слова с pf не сравнится , V, 26-Дек-07, 14:48 (6) //
пакетный фильтр в случае ДоС как раз и спасает,особенно pf с лимитами , Аноним, 26-Дек-07, 17:53 (20) //
- Особенно, когда DoS ят Апач, вызывая динамический контент Загрузка проца взлета, Andrew Kolchoogin, 26-Дек-07, 21:51 (23) //
  - у нормальных людей опач работает бэкэндом А такую паразитную активность весьма , Дохтур, 26-Дек-07, 22:17 (26) //
    - И что Он от этого как-то сильно меньше CPU Time кушать начинает Exponen, Andrew Kolchoogin, 27-Дек-07, 01:37 (34)
      - Да с cpu time не проблема Опач обычно в prefork гоняют, так что чаще упираешься, Аноним, 27-Дек-07, 10:56 (51)
        
        Согласен Далеко не всегда В большинстве случаев, с которыми мне прих, Andrew Kolchoogin, 27-Дек-07, 18:13 (68)
    - Пакетный фильтр вас не спасет при DOS-е службы Уж слишком низкий может оказатьс, Nikolay, 27-Дек-07, 05:29 (41)
      - index php ещё, как правило, переживаемо А вот index pl может уже на 50 запр, Andrew Kolchoogin, 27-Дек-07, 09:23 (45)
        
        ОФФ Andrew Kolchoogin, респект за грамотную дискуссию Кое-что открыл для себ, Аноним, 27-Дек-07, 10:17 (47)
        
        Андрюша, хватит уже отвешивать себе комплименты с помощью виртуалов - смотреть п, гость, 27-Дек-07, 12:16 (54)
        
        Так и до дурки не далеко гоЗть - хорош трепаться - санитары идут , Ну а по те, Аноним, 27-Дек-07, 18:05 (66)
        
        Не надо наезжать на Perl, ибо связка mod_perl Apache дает очень хорошую произв, Antrew, 27-Дек-07, 11:21 (52)
        
        Упаси меня Ларри наезжать на Perl Просто PHP-интерпретатор легче перлового , Andrew Kolchoogin, 27-Дек-07, 18:29 (71)
        
        впику Вашей нелюбви к Netfilterпроблема DoS на вебсервис и границы синов далеки , Nick, 28-Дек-07, 09:36 (99)
        
        могу ошибаться -- но как мне думается тут и писать ничего не придётсяпроблему мо, pavel_simple, 28-Дек-07, 10:37 (102)
        дописать модуль к тому же apache, чтоб он рулил этой политикой, тогда можно хоть, Аноним, 28-Дек-07, 21:42 (109)
        
        кроме апача источников нагрузки бывает немало, Nick, 30-Дек-07, 23:40 (119)
        
        Ой, и вы ЭТО называете красивым и элегантным решением Это же жуткий костыль Н, nuclight, 30-Дек-07, 22:42 (118)
        
        Угукому следует орагнизовывать схему - тот организовывает схему А кому следует н, Nick, 30-Дек-07, 23:57 (120)
Наш новый гуру нам все объяснил Как же он смог подняться на такие высоты После , KdF, 27-Дек-07, 15:17 (57) //
- Извините за оффтоп, но в 1110 такими выпадами похожи на журналиста желтой прес, Аноним, 27-Дек-07, 17:36 (59) //
  - Да хоть всё сразу Мне приятно ощущать свою уникальность в антиобщественности, Andrew Kolchoogin, 27-Дек-07, 18:01 (64)
  - Может быть я и есть журналист желтой прессы, откуда вам знать А завтра напишу ст, KdF, 27-Дек-07, 21:02 (78)
- Кроме IT, в мире есть ещё много увлекательных наук Химия, например Или математ, Andrew Kolchoogin, 27-Дек-07, 18:00 (63)
KdF, спасибо посмеялся Гугл очень силен Хочется вериться, что Andrew Kolchoog, Mikhail, 27-Дек-07, 17:01 (58) //
- Да, Гугль про меня много разного рассказывает Абсолютно Химия и физи, Andrew Kolchoogin, 27-Дек-07, 18:03 (65) //
  - Замечательная дискуссия Андрей - вопрос, если можно Где учат кошерной работе с, sash, 27-Дек-07, 21:03 (79) //
    - Да вот, здесь, на OpenNet е Если, конечно, отфильтровывать гон от дискуссий, Andrew Kolchoogin, 28-Дек-07, 01:51 (93)
  - И еще вопрос Вы действительно где-то используете RSVP , sash, 27-Дек-07, 21:05 (80) //
    - Нет, конечно , Andrew Kolchoogin, 28-Дек-07, 01:51 (94)
мда, виртуальные интерфейсы по прежнему не поддерживаются , yurii, 28-Дек-07, 01:48 (92) //
- пардонпоясните что именно не поддерживается , Nick, 28-Дек-07, 09:39 (100) //
  - видимо он имел ввиду отсутствие возможности написать iptables -i eth1 1 , я, 09-Янв-08, 13:09 (121) //
    - а ну так это ж не отдельный интерфейс, и даже не виртуальный это просто labe, Nick, 09-Янв-08, 15:54 (122)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру