Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re[2]: RootConf / прямая трансляция
Здравствуйте, Антон.
Tuesday, April 14, 2009, 9:01:43 PM, Вы писали:
AY> Алексей Бобок wrote:
>> Не совсем понял про "Узкие места FreeBSD" "чем можно заменить файрволл"
>> в чем глобальная суть?
AY> Любой firewall на серверах с большим трафиком это
AY> дополнительная нагрузка на CPU.
AY> Поэтому его на веб-серверах лучше не использовать совсем, а для ограничения
доступа
AY> использовать другие методы.
AY> Например ограничить доступ по ssh можно через /etc/hosts.allow
AY> Зафильтровать определенный IP (или сеть) полностью (в случае
AY> DoS-атаки) можно добавив маршрут вида:
AY> route add bad_ip_or_net 127.0.0.2 -blackhole
Вдогонку...
Идея метода в том, что роутинг кушает меньше процессора, чем фаервол.
При роутинге используется то ли хэш, то ли дерево, и поиск по нему
быстрый. А в фаерволе присходит парсинг всего пакета и потом
последовательный перебор нескольких правил, что затратнее про
процессору.
Вчера был отличный доклад на тему работы фаерволов:
http://www.rootconf.ru/papers2009/12352.html
--
С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster@xxxxxxxxxxxxx
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.
|