On Saturday 02 February 2002 04:51 pm, you wrote: > On Sunday 03 February 2002 01:03, you wrote: > > Eh, az ne iskah da zapochwam woina za twa kolko dobar ili losh e iptables > > - prosto spodelih nabludenie po waprosa ... > > nqma vojni, prosto share-vane na malko misli t.k. :)
i az taka smiatam :) > > > Nito pak kazah che reshenieto posocheno w po-predishnite email-i ( > > zabrawih weche s koia progy beshe) e losho - sigurno si ima swoite > > dostoinstwa - ne sam go polzwal. W momenta sam s iptables ( BTW s nego > > sashto moje da se filtrirat loshi packeti) i snort. (wapros na lichen > > izbor). > > 4eki 4eki malko :) . stavashe vypros za edno po-universalno reshenie. da si > pospestish malko trafik i ne samo tozi na port 80 :) > > > Kakto i da e - sled kato weche se zahwana spora - pak shte powtoria s > > malko poweche podrobnosti: > > > > Pochti bez da iskam zabeliazah che ping-a kam niakoi game server-i > > (Counter Strike) se uwelichi sled kato pusnah malak script koito dobawia > > e neznam ... no pinga mozhe da se ka4i poradi mnogo pri4ini/problemi > vklu4itelno i fizi4eski. no mozhe i da si prav, ti si znaesh. Absolutno wiarno - resultatite ot ping-a ne sa mnogo tochen pokazatel - moje da e bilo ot mnogo neshta. > > > wsichkite "loshi" IP-ta kam iptables - i saotwetno se namali kato gi > > mahnah ot filtera: > > > > iptables -A INPUT -i eth0 -p TCP -s $BADIP --dport 80 -j DROP > > > > > > Kakto se wijda ot gornia red twa go pochnah zaradi Nimda/CodeCodeRed & > > friends. Mejduwremenno (kakto predpolagam i powecheto ot was biha > > naprawili) porowih po internet i namerih razlichni reshenia i mnenia po > > waprosa - kato cialo se beshe pochnalo ot neshto podobno na moia script i > > postepenno po prichini obiasneni ot awtorite kato nejelano pretrupwane na > > filtera s reject-nati IP-ta w iptables biaha predlojeni drugi reshenia > > ... az si izbrah towa sas httpd.conf. > > dobre, no Internet ne e samo service-a na port 80 :) ... A i Apaha ne e > naj-byrziq demon na sveta, da ostavim 4e i kernela do golqma stepen mozhe > da izzeme tezi funkcii na webservera ot user space to4no poradi performance > pri4ini - no samo za static requests. Sega kakvo da prenesem packet > filter/firewall koda v user-space li ? Performance drop x10 v naj-dobriq > slu4aj :) > > > Malko poiasnenia: > > 1. Scripta za sabirane na IP-tata, kakto i iptables prawilata izmislih i > > napisah sam - taka che ne pretendiram da sa idealni nito optimizirani - > > nishto chudno da sam gi "zabranil" ne kakto triabwa i winata za > > zabawianeto da e moia (w koeto si zapazwam prawoto da se samniawam) > > > > 2. Sled kato obmislih neshtata ot wsichki strani - reshih che e po-dobre > > da naprawia taka che da se reagira samo kogato ima problem - ako zabrania > > wsichki "loshi" IP-ta samo zashtoto ne sa "bili poslushni" kogato sam gi > > hwanal - to dori i kato stanat "dobri" pak shte sa zabraneni ... > > ama nikyf problem prez daden interval ot vreme da iz4istvash add-natite > ve4e loshi IP-ta, i te ste stavat dobri do sledvashtiq pyt, kogato se > uzdunqt, i taka :). > > > 3. W sluchaia sas "zabawianeto" imah predwid che filtrirabeto s iptables > > moje da ima makar i malak (w powecheto sluchai nezabelejim) efekt warhu > > barzodeistwieto. Waw wseki sluchai da se twardi che sas iptables ne se > > towari servera ili pak niamat NIKAKWO wlianie warhi nego ...??? aide de > > e imat, no v slu4aq stava vypros za prenebrezhimo malko koli4estvo pravila. > Vse edno da dobavish nqkolko vhost-a na Apacheto i da se srine performance > ... nesto ot sorta. i stiga s tova iptables :) . Cqlata rabota se vyrshi ot > Packet filtering coda v kernela, kojto byrka v headerite na preminavashtie > ip paketi. Netfilter v Linux 2.4 mozhe da se menagira i s ipchains i > ipfwadm. No tova nqma absolutno nikakvo kasatelstvo s performance na packet > filtering koda v kernela... tova sa prosto instarumenti s 4iqto pomost si > "govorish" s kernela. te samite nisto ne filtrosvat, blockvat i t.n.. i > _ne_ sa 4ast ot kernela... Za da polzvash Linux 2.4 Netfilter s ipchains i > ipfwadm (trqbva da imash instalirani tezi toolz estestveno) i kernel modula > ip_tables.o da _NE_ byde zareden ili compiled-in, a da zaredish ipchains.o > i ipfwadm.o kernel modulite. Tova e specialna usluga za tezi koito > izpitvat nostalgiq po old ipfwadm/ipchains days... > > > Sajaliawam ako sam zasegnal niakoi, ili ste me razbrali pogreshno - twa > > ne mi e bila celta. > > molq molq, nqma kakvo da se zasqgame :) . Nqma bezgreshni hora i systemi. > Oh, az se predavam :) Kato bez da iskam ia otworih taia tema - az se porowih malko po internet. Po waprosa za performance: http://industrial-linux.org/mlug/2001-10-13/iptables_thruput.txt Sashto w niakoi mail listowe widiah che hora se oplakwat ot performance loss sas niakoi ot -ac kernel-ite (s iptables)... regards, Emo =========================================================================== A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers) http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora