konto usunięte
Temat: Jak zbanować 20000 adresów IP bez rekompilacji kernela?
Mariusz Gronczewski:
A po tym jak napisałeś że przy dużej liczbie reguł może zwalniać ludzie się przestraszyli i zaczęli szukać jakichś modułów do serwerów www ;]
"Zwalniać" nieadekwatnie to zmniejszenia wydajności aplikacji działającej w userspace. Po to jest np. ipset aby minimalizować taki efekt po stronie kernela.
Dla tych co "przestraszyłem" ;-)
Ewentualne problemy z wydajnością, związane z dużą ilością reguł dla iptables, są nieporównywalnie mniej groźne w skutkach, niż reguły blokujące w serwerze WWW (czy to w .htaccess, mod_rewrite/mod_security, ekstra_wypasionym_module_w_Perlu/etc.), działającym w userspacie.
Jednak jeżeli reugł może być 20 000 to warto 'zainwestować' w takie rozwiązania jak iptables +ipset. Bo problemy z wydajnością mogą wystąpić.
Wracając do tematu, można by się jeszcze pokusić o wysłanie ipków "blokowanych" do TARPIT (taki target do iptables z patch-o-matic), powoduje on "podtrzymanie" połączenia TCP przez parenaście minut (po szczegóły zapraszam do googli), taki paskudny prezent dla hostów męczących twój serwerek ;]
TARPIT bywa uciążliwy ;)