Bonjour, Le 8 sept. 2012 à 11:32, Sylvain Vallerot a écrit :
> > > On 08/09/2012 01:58, Emmanuel Thierry wrote: >> >> Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit : >>> Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la >>> suite >> >> Est-ce qu'on a une idée du "beaucoup" en question ? 100 ? 1000 ? 10000 ? > > Si tu routes avec Linux et que en plus tu rajoutes de la charge avec des > règles alors tu n'a pas les moyens d'encaisser un DDOS un peu sérieux (et > ça va très vite) : même si tu protèges le site visé l'ensemble de ton réseau > va être impacté plus ou moins sévèrement. L'interface de sortie de ton routeur > sur ton réseau n'est pas le goulot d'étranglement parce que ton backbone a > une capa supérieure à tes liens externes autrement dit le mal est déjà fait. > > Je trouve bien plus intéressant de travailler avec tes upstreams pour que > le trafic n'arrive pas jusqu'à ton réseau A vrai dire je pensais à d'autres utilisations que du firewalling (marquage de paquets, sélection d'interface de sortie, etc). Des cas où il y a peu de solutions alternatives ! ;) Mais c'est une bonne idée de faire un test de montée en charge sur ce point. Cordialement. Emmanuel Thierry --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/