Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: nginx as reverse proxy for weblogic
Роман Москвитин Wrote:
-------------------------------------------------------
> А что мешает блочить фаерволом? Самый легких способ, с точки зрения
> нагрузки.
Если кол-во правил не большое - то да.
Если их переваливает за 3000, то перед тем как исходный пакет попадет на
входящий порт на который вы поставили ACCEPT, он должен пробежать ваши 3000
правил.
При этом каждый новый пакет должен сделать тоже самое. В результате вы
получаете некоторый трабл с неизвестными корнями - бекенды простаивают, цпу
при этом не сказать чтобы нагружен, все кого-то "ждут", входная очередь
переполнена.
Ну да, есть вообще-то ipset. Но кто сказал при каких кол-вах правил это все
еще будет работать?
Лучше уж иметь небольшой лаг на обработке одного входящего соединения на 80й
порт, пока nginx или ваш фронтенд не пробежится по вашим правилам
блокировки.
Posted at Nginx Forum:
http://forum.nginx.org/read.php?21,235603,235615#msg-235615
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|