On Sunday 03 February 2002 01:03, you wrote: > Eh, az ne iskah da zapochwam woina za twa kolko dobar ili losh e iptables - > prosto spodelih nabludenie po waprosa ...
nqma vojni, prosto share-vane na malko misli t.k. :) > Nito pak kazah che reshenieto posocheno w po-predishnite email-i ( zabrawih > weche s koia progy beshe) e losho - sigurno si ima swoite dostoinstwa - ne > sam go polzwal. W momenta sam s iptables ( BTW s nego sashto moje da se > filtrirat loshi packeti) i snort. (wapros na lichen izbor). 4eki 4eki malko :) . stavashe vypros za edno po-universalno reshenie. da si pospestish malko trafik i ne samo tozi na port 80 :) > Kakto i da e - sled kato weche se zahwana spora - pak shte powtoria s malko > poweche podrobnosti: > > Pochti bez da iskam zabeliazah che ping-a kam niakoi game server-i > (Counter Strike) se uwelichi sled kato pusnah malak script koito dobawia e neznam ... no pinga mozhe da se ka4i poradi mnogo pri4ini/problemi vklu4itelno i fizi4eski. no mozhe i da si prav, ti si znaesh. > wsichkite "loshi" IP-ta kam iptables - i saotwetno se namali kato gi mahnah > ot filtera: > > iptables -A INPUT -i eth0 -p TCP -s $BADIP --dport 80 -j DROP > > > Kakto se wijda ot gornia red twa go pochnah zaradi Nimda/CodeCodeRed & > friends. Mejduwremenno (kakto predpolagam i powecheto ot was biha > naprawili) porowih po internet i namerih razlichni reshenia i mnenia po > waprosa - kato cialo se beshe pochnalo ot neshto podobno na moia script i > postepenno po prichini obiasneni ot awtorite kato nejelano pretrupwane na > filtera s reject-nati IP-ta w iptables biaha predlojeni drugi reshenia ... > az si izbrah towa sas httpd.conf. dobre, no Internet ne e samo service-a na port 80 :) ... A i Apaha ne e naj-byrziq demon na sveta, da ostavim 4e i kernela do golqma stepen mozhe da izzeme tezi funkcii na webservera ot user space to4no poradi performance pri4ini - no samo za static requests. Sega kakvo da prenesem packet filter/firewall koda v user-space li ? Performance drop x10 v naj-dobriq slu4aj :) > Malko poiasnenia: > 1. Scripta za sabirane na IP-tata, kakto i iptables prawilata izmislih i > napisah sam - taka che ne pretendiram da sa idealni nito optimizirani - > nishto chudno da sam gi "zabranil" ne kakto triabwa i winata za zabawianeto > da e moia (w koeto si zapazwam prawoto da se samniawam) > > 2. Sled kato obmislih neshtata ot wsichki strani - reshih che e po-dobre > da naprawia taka che da se reagira samo kogato ima problem - ako zabrania > wsichki "loshi" IP-ta samo zashtoto ne sa "bili poslushni" kogato sam gi > hwanal - to dori i kato stanat "dobri" pak shte sa zabraneni ... ama nikyf problem prez daden interval ot vreme da iz4istvash add-natite ve4e loshi IP-ta, i te ste stavat dobri do sledvashtiq pyt, kogato se uzdunqt, i taka :). > 3. W sluchaia sas "zabawianeto" imah predwid che filtrirabeto s iptables > moje da ima makar i malak (w powecheto sluchai nezabelejim) efekt warhu > barzodeistwieto. Waw wseki sluchai da se twardi che sas iptables ne se > towari servera ili pak niamat NIKAKWO wlianie warhi nego ...??? aide de e imat, no v slu4aq stava vypros za prenebrezhimo malko koli4estvo pravila. Vse edno da dobavish nqkolko vhost-a na Apacheto i da se srine performance ... nesto ot sorta. i stiga s tova iptables :) . Cqlata rabota se vyrshi ot Packet filtering coda v kernela, kojto byrka v headerite na preminavashtie ip paketi. Netfilter v Linux 2.4 mozhe da se menagira i s ipchains i ipfwadm. No tova nqma absolutno nikakvo kasatelstvo s performance na packet filtering koda v kernela... tova sa prosto instarumenti s 4iqto pomost si "govorish" s kernela. te samite nisto ne filtrosvat, blockvat i t.n.. i _ne_ sa 4ast ot kernela... Za da polzvash Linux 2.4 Netfilter s ipchains i ipfwadm (trqbva da imash instalirani tezi toolz estestveno) i kernel modula ip_tables.o da _NE_ byde zareden ili compiled-in, a da zaredish ipchains.o i ipfwadm.o kernel modulite. Tova e specialna usluga za tezi koito izpitvat nostalgiq po old ipfwadm/ipchains days... > Sajaliawam ako sam zasegnal niakoi, ili ste me razbrali pogreshno - twa ne > mi e bila celta. molq molq, nqma kakvo da se zasqgame :) . Nqma bezgreshni hora i systemi. Oh, az se predavam :) -- Greets, fr33zb1 =========================================================================== A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers) http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora