ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: RootConf / прямая трансляция



Здравствуйте, Антон.

Tuesday, April 14, 2009, 9:01:43 PM, Вы писали:

AY> Алексей Бобок wrote:
>> Не совсем понял про "Узкие места FreeBSD" "чем можно заменить файрволл"
>> в чем глобальная суть?

AY> Любой firewall на серверах с большим трафиком это
AY> дополнительная нагрузка на CPU.

AY> Поэтому его на веб-серверах лучше не использовать совсем, а для ограничения 
доступа
AY> использовать другие методы.

AY> Например ограничить доступ по ssh можно через /etc/hosts.allow

AY> Зафильтровать определенный IP (или сеть) полностью (в случае
AY> DoS-атаки) можно добавив маршрут вида:
AY> route add bad_ip_or_net 127.0.0.2 -blackhole

Вдогонку...

Идея  метода в том, что роутинг кушает меньше процессора, чем фаервол.
При  роутинге  используется  то  ли хэш, то ли дерево, и поиск по нему
быстрый.   А  в  фаерволе  присходит  парсинг  всего  пакета  и  потом
последовательный   перебор   нескольких   правил,  что  затратнее  про
процессору.

Вчера    был    отличный    доклад    на    тему   работы   фаерволов:
http://www.rootconf.ru/papers2009/12352.html

--

С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster@xxxxxxxxxxxxx
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.




 




Copyright © Lexa Software, 1996-2009.