наиболее быстрый способ дропать пакеты из блеклиста?

0

1

хай всем такой вопрос есть самописная система IDS, которая по логам вебсервера блочит сканеры и прочую муть в своё время отказался от её использования, потому как кол-во правил iptables очень быстро росло до десятков тысяч (блочил обычно подсеть /24), и это сказывалось на скорости работы сетевой подсистемы есть ли сейчас какой-то прогрессивный способ, создавать большие блек листы? мне просто надо дропать пакеты с таких сетей.

Ссылка

←	Не пингуются клиенты OpenVPN

TP-Link TL-MR3220 Настройка переключения 3G-WAN

→

Pinkbyte ★★★★★
(16.03.14 13:33:00 MSK)

Ответ на: комментарий от Pinkbyte 16.03.14 13:33:00 MSK

он без проблем переварит например 100000 правил ?

ioan ★
(16.03.14 13:40:26 MSK) автор топика

Ответ на: комментарий от ioan 16.03.14 13:40:26 MSK

Он был придуман как раз для этого. Как только однотипных правил становится больше 2-3 тысяч - пора думать об ipset

Pinkbyte ★★★★★
(16.03.14 13:45:42 MSK)

Ответ на: комментарий от Pinkbyte 16.03.14 13:45:42 MSK

сенкс!!!!! :)

ioan ★
(16.03.14 13:46:03 MSK) автор топика

Ответ на: комментарий от ioan 16.03.14 13:46:03 MSK

Вот еще - график производительности, он как бы намекает :-)

Pinkbyte ★★★★★
(16.03.14 13:47:23 MSK)

Ответ на: комментарий от Pinkbyte 16.03.14 13:47:23 MSK

сенкс, это то что надо :)

ioan ★
(16.03.14 13:50:27 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не пингуются клиенты OpenVPN

TP-Link TL-MR3220 Настройка переключения 3G-WAN

→