iptables. Фильтрация трафика по регионам

0

1

Привет всем!
Есть задача - предоставить доступ к серверу только для адресов из, к примеру, Украины.
У меня есть список агрегированных украинских сетей.
Как мне эффективней сделать?
Я могу добавить 2500 правил с каждой сетью в iptables и там проверять пакеты на принадлежность к этим сетям.
Могу собрать модуль geoip для iptables.

Что в данном случае эффективнее в плане производительности системы?

Ссылка

←	нагрузка на сервер

удаленный запуск программы через ssh

→

ip set, еще быстрее - зароутить сети в blackhole, при условии что ядро собрано с FIB_TRIE, но это несколько некрасиво тк запросы все таки будут долетать.

ventilator ★★★
(15.02.12 18:07:50 MSK)

Ссылка

geoip испльзовать, единственное правило нужно будет для разрешение украины и дропа всего остального
-m geoip --source-country UA -j ACCEPT
дальше дроп делаешь и все норм.

kam ★★
(15.02.12 18:57:36 MSK)

Ответ на: комментарий от kam 15.02.12 18:57:36 MSK

есть ли существенное преимущество geoip от простого добавления правил в iptables, если нужно ограничиться только одной страной?

BusTeR ★
(15.02.12 19:53:19 MSK) автор топика

Вам нужен UA-IX или именно Украина? Если второе, то geoip справится, если первое то здесь он одназначно не подойдет.

vladislav ★★
(15.02.12 21:54:38 MSK)

Ответ на: комментарий от vladislav 15.02.12 21:54:38 MSK

вопрос, короче, снят.....

BusTeR ★
(15.02.12 23:11:13 MSK) автор топика

Ссылка

Ответ на: комментарий от BusTeR 15.02.12 19:53:19 MSK

при добовлении over 500 правил ipt получите нехилый оверхед на прерывание(ksoftirq). при хороших объемах трафика, это будет ужасно тормозить.

kam ★★
(16.02.12 11:51:24 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	нагрузка на сервер

Admin

удаленный запуск программы через ssh

→

Похожие темы