LINUX.ORG.RU
ФорумAdmin

nginx MAP из тысячей IP

 , , , ,


0

1

У меня есть в iptables(ipset) список около 20000 IP, которые заблокированы. Хотелось бы убрать их из iptables и перенести блокировку в nginx. На ум приходит только MAP


  • Будет ли она тормозить nginx c таким списком?
  • Как бы ее обновлять динамически? На ум приходит только include, генерить файлик с адресами и nginx reload
  • Можно ли генерировать http ответ средством iptables?



Собственно задача, дать блокируемому адресу подключиться к 443 порту и выдать статичную страницу с уведомлением о блокировке. Сейчас же блокируемый тупо не может даже законнектиться к серверу и думает что ничего не работает.

★★★★

Можно ли генерировать http ответ средством iptables?

В небо. redirect «на порт на котором страница на которой написано то что вам нужно»? имхо быстрее ipset врядли кто обработает списки.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от gobot

1. Ага.
2. conntrack от соединений уж точно не умрет. У вас же не не тысячи одновременно. Или одновременно? Тогда и вариант с MAP nginx будет в разы более нагружен.
ЗЫ Возьмем бытовой роутер и запустим торрент клиент со скачиванием «туевой хучи» всего, что нам покажет conntrack -L ? Да трындец сколько всего.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Ладно спасибо, сделал так, посмотрим как будет работать

gobot ★★★★
() автор топика

Собственно задача, дать блокируемому адресу подключиться к 443 порту и выдать статичную страницу с уведомлением о блокировке. Сейчас же блокируемый тупо не может даже законнектиться к серверу и думает что ничего не работает.

Ты пробовал подключиться по левому имени на https ресурс? Браузер тут же бдет ругаться на несовпадение имен. Без доверенного корневого сертификата такое не сделать.

Не блокируй в iptables коннекты на порты 80 и 443. Редиректи их на отдельный порт, а там nginx/apache/squid их будет поджидать

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.