LINUX.ORG.RU
ФорумAdmin

iptables. Фильтрация трафика по регионам


0

1

Привет всем!
Есть задача - предоставить доступ к серверу только для адресов из, к примеру, Украины.
У меня есть список агрегированных украинских сетей.
Как мне эффективней сделать?
Я могу добавить 2500 правил с каждой сетью в iptables и там проверять пакеты на принадлежность к этим сетям.
Могу собрать модуль geoip для iptables.

Что в данном случае эффективнее в плане производительности системы?


ip set, еще быстрее - зароутить сети в blackhole, при условии что ядро собрано с FIB_TRIE, но это несколько некрасиво тк запросы все таки будут долетать.

ventilator ★★★ ()

geoip испльзовать, единственное правило нужно будет для разрешение украины и дропа всего остального
-m geoip --source-country UA -j ACCEPT
дальше дроп делаешь и все норм.

kam ★★ ()
Ответ на: комментарий от kam

есть ли существенное преимущество geoip от простого добавления правил в iptables, если нужно ограничиться только одной страной?

BusTeR ()

Вам нужен UA-IX или именно Украина? Если второе, то geoip справится, если первое то здесь он одназначно не подойдет.

vladislav ★★ ()
Ответ на: комментарий от BusTeR

при добовлении over 500 правил ipt получите нехилый оверхед на прерывание(ksoftirq). при хороших объемах трафика, это будет ужасно тормозить.

kam ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.