Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: RootConf / прямая трансляция

To: nginx-ru@xxxxxxxxx
Subject: Re: RootConf / прямая трансляция
From: Алексей Бобок <alexey.bobok@xxxxxxxxx>
Date: Thu, 16 Apr 2009 16:58:41 +0300
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=YW/hhh0hhY6ZsXI8T/pK08vSpXHPnZuCJP8jJIPJOWw=; b=JCVyWYFHAEBztMgU9dblTpYSXEEf2Xy7Hkm+NBJxeyQTBDcraOBQwdfeagSfx7MZlB gPlNjrmBjKVcdMsB/h0k9GaZ3uk4eoyM8+mEyiXgM/sCeC+a1QPZ2A8vO8lzR+5GHJew HvNpwin85XnVDPvVyo37W3NfhIgYl/PXuFlu4=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=j2mlywwdEHfdYl27uHvHdyHrubA7lpahvQy4LaBGD3VhN6SPD60dWCE11U8W+2wtoU KSkv/B4zInWQPfLJrrroK7eIzFewGpPt4BohPQhEg0MwjjWQQ/1xENLq0qf0O7oSIK7U X3qA+5c4s+tFzBXQlQ4SkuNj9l80Bg42eXj70=
In-reply-to: <49E7150F.8060603@xxxxxxxxx>
References: <49E47584.1000203@xxxxxxx> <4696622491853349071@unknownmsgid> <199bda640904140737t21ceae0fxe15dc2dd2527f51b@xxxxxxxxxxxxxx> <381e60660904140857g58e83d49we7bf72a84a2f8b58@xxxxxxxxxxxxxx> <49E4C177.4040904@xxxxxxxxx> <106271775.20090415143015@xxxxxxxxxxxxx> <20090415104618.GC68820@xxxxxxxxxxxxx> <381e60660904150511w30f43989h8459a8be4d026651@xxxxxxxxxxxxxx> <524845214.20090416010437@xxxxxxxxxxxxx> <49E7150F.8060603@xxxxxxxxx>

То есть мы плавно подошли к тому, что IPFW более быстрый и для
нагруженных кол-вом конектов серверов freebsd лучше использовать его,
чем например PF?

16 апреля 2009 г. 14:22 пользователь Лазовский Вадим <lvm@xxxxxxxxx> написал:
> в man ipfw
>
> LOOKUP TABLES
>  Lookup tables are useful to handle large sparse address sets, typically
>  from a hundred to several thousands of entries.  There may be up to 128
>  different lookup tables, numbered 0 to 127.
>
>     ...
>
>  Internally, each table is stored in a Radix tree, the same way as the
>  routing table (see route(4)).
>
> Это в том числе к вопросу о скорости фаервола.
>
>
> Михаил Монашёв пишет:
>>
>> Здравствуйте, Алексей.
>>
>> АБ> наверное  оффтоп,  но все же: если используется /ets/hosts.allow и
>> АБ> если  необходимо  обеспечить  защиту  от  ДОС,  ДДОС,  что  сейчас
>> АБ> локально  фаерволом делается на каждом сервере, например, лимитами
>> АБ> на  кол-во  коннектов  с  одного  IP  (просто  и  тупо,  но как-то
>> АБ> защищает),
>>
>> Если  я  не ошибаюсь, то ботнетом количество динамических правил может
>> достигнуть  максимума,  который  в  ipfw  вроде  65536. Ну и процессор
>> скушает сильно.
>>
>> Возможно  правильнее  в  таком  случае было бы на время атаки включать
>> скрипт,  который  получал ты на вход лог от ipfw с ip, с которых много
>> коннектов  (и прочие подозрительные ip, не понравившиеся Вам по другим
>> правилам)  и  вносил  бы  их  в  таблицу. А всё, что идёт с ip из этой
>> таблицы   резалось   бы   самым   первым  правилом.  Тогда  количество
>> динамических правил возможно меньше раздувалось бы. А поиск по таблице
>> в ipfw вроде быстро делается.
>>
>> АБ> то   в   этот   функционал   необходимо   выносить   на  отдельную
>> АБ> железку-фаервол с функциями инспектирования трафика?
>>
>>
>>>>> Идея  метода в том, что роутинг кушает меньше процессора, чем фаервол.
>>>>> При  роутинге  используется  то  ли хэш, то ли дерево, и поиск по нему
>>>>> быстрый.   А  в  фаерволе  присходит  парсинг  всего  пакета  и  потом
>>>>> последовательный   перебор   нескольких   правил,  что  затратнее  про
>>>>> процессору.
>>>>
>>>> Там ещё и локи отличаются: для роутинга - shared lock, а для файрволла
>>>> exclusive. То есть, дере
>>
>
>
>



-- 

--
Best regards, Alexey Bobok

Follow-Ups:
- Re: RootConf / прямая трансл яция
  - From: Anton Yuzhaninov

References:
- Re: RootConf / прямая трансл яция
  - From: Rush
- Re: RootConf / прямая трансляция
  - From: Vladimir Getmanshchuk
- Re: RootConf / прямая трансляция
  - From: Алексей Бобок
- Re: RootConf / прямая трансл яция
  - From: Anton Yuzhaninov
- Re[2]: RootConf / прямая трансляция
  - From: Михаил Монашёв
- Re: RootConf / прямая транс ляция
  - From: Igor Sysoev
- Re: RootConf / прямая трансляция
  - From: Алексей Бобок
- Re[2]: RootConf / прямая трансляция
  - From: Михаил Монашёв
- Re: RootConf / прямая трансл яция
  - From: Лазовский Вадим

Prev by Date: Re: [PATCH] www/nginx-devel update (Was: nginx mogilefs module 1.0.1)
Next by Date: Re: RootConf / прямая трансл яция
Previous by thread: Re: RootConf / прямая трансл яция
Next by thread: Re: RootConf / прямая трансл яция
Index(es):
- Date
- Thread