Денис Смирнов написав(ла):
On Mon, Apr 14, 2008 at 02:39:16PM +0300, Andriy Khavryuchenko wrote:
В этом случае имхо эффективнее не просто блочить, а, например,
использовать TARPIT из PoM.
AK> Разница несущественная, т.к. *размер* атакующего ботнета больше, чем
AK> "просто так" переваривает iptables. Вне зависимости от того, куда этот
AK> ботнет -j
Можно написать свой генератор правил для iptables, который будет помнить
про такую замечательную вещь как "двоичное деление". За счет этого можно
даже при очень больших таблицах обойтись ну никак не тысячами сравнений.
Ммм.. Не понял. Разложить этот (достаточно случайный) набор ip адресов
в binary tree правил iptables? Это ж сколько цепочек будет :)
--
> > We have System/XFree86 group but not XFree86 itself. A bug?
> еще какой. должно быть System/X
заменить нельзя добавить?
-- ldv in #5372
_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins
