OpenForum RSS: OpenNews: Эффективное блокирование тысяч IP в Linux https://m.opennet.dev/openforum/vsluhforumID3/37832.html В статье "Filtering traffic based on thousands of IPs efficiently (http://www.debian-administration.org/articles/540)" рассказывается о программе nfqueue (http://nfqueue.sf.net), которая работает на пользовательском уровне и использует NetFilter библиотеку netlink-queue. <br><br><br>Nfqueue позволяет значительно повысить эффективность блокирования десятков тысяч IP, не требуя при этом накладывания дополнительных патчей, как происходив в случае с ipset (http://ipset.netfilter.org/).<br><br><br>При тестировании, загрузка 70000 обычных правил заняла около часа, в то время как nfqueue (http://nfqueue.sf.net) почти мгновенно подгружает большие cписки блокировки, оформленные в p2p, dat, csv форматах или преобразованные в специальный сжатый бинарный вид. <br><br>URL: http://www.debian-administration.org/articles/540<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=11286<br> OpenNews: Эффективное блокирование тысяч IP в Linux (universite) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#59 Mon, 12 Jan 2009 00:17:55 GMT <br>&gt;google://метод бисекции <br>&gt;<br>&gt;Если в кратце - берётся элемент посередине уорядоченного множества и сравнивается с <br>&gt;данным. Если данный элемент меньше - берём "нижнюю" половину множества, если <br>&gt;больше - "верхнюю". Дальше всё повторяется с выбранной половиной. <br><br>Тогда надо как-то дерево адресов ipv4 упорядочить в одномерный массив или последовательность.<br><br>В общем, алгоритмов достаточно, но универсальных нет ;)<br> OpenNews: Эффективное блокирование тысяч IP в Linux (LonliLokli) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#58 Sun, 11 Jan 2009 19:00:07 GMT &gt;&gt;приближения. Очень быстро получается. <br>&gt;<br>&gt;А поподробнее?Что за метод?Насколько быстро?Скажем у тупого перебора отстойное соотношение - O(n).А <br>&gt;у вас - что в итоге? <br><br>google://метод бисекции<br><br>Если в кратце - берётся элемент посередине уорядоченного множества и сравнивается с данным. Если данный элемент меньше - берём "нижнюю" половину множества, если больше - "верхнюю". Дальше всё повторяется с выбранной половиной.<br> Эффективное блокирование тысяч IP в Linux (guest) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#57 Thu, 02 Aug 2007 17:10:48 GMT &gt;ммм... не пробовал такой объем, но pf должен вообще махом и грузить <br>&gt;и обрабатывать такое количество правил... <br><br>[sp@bastion: ~] % sudo time pfctl -f /etc/pf/pf.conf<br>pfctl -f /etc/pf/pf.conf.all 1,00s user 1,14s system 54% cpu 3,925 total<br>[sp@bastion: ~] % sudo wc -l /etc/pf/pf.conf<br> 69731 /etc/pf/pf.conf.all<br>[sp@bastion: ~] % uname -srp<br>FreeBSD 6.2-STABLE i386<br><br>на компьютере 12 сетевых интерфейсов.<br><br> OpenNews: Эффективное блокирование тысяч IP в Linux (etc) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#56 Wed, 25 Jul 2007 23:27:26 GMT &gt;приближения. Очень быстро получается. <br><br>А поподробнее?Что за метод?Насколько быстро?Скажем у тупого перебора отстойное соотношение - O(n).А у вас - что в итоге?<br> Эффективное блокирование тысяч IP в Linux (etc) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#55 Wed, 25 Jul 2007 23:25:33 GMT &gt;у кого такая необходимость блокирования реально может возникнуть, <br>&gt;деньги на неё (железку) безусловно есть. <br><br>Узость взглядов - хреново, да?Такая задача в принципе возникает например у почти любого P2P юзера и как ни странно, далеко не любой юзер в состоянии купить себе стоечку с цисками.Это так, для тех кто в танке.С ручника полезно иногда сниматься.Говорят, помогает.<br> Эффективное блокирование тысяч IP в Linux (etc) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#53 Wed, 25 Jul 2007 23:08:59 GMT &gt;Все просто, если ваша сеть не стоит этих 180К (не много, кстати, <br><br>Угу, для CISCO это немного.А для остальных - кому как.Даже крупный бизнес сто раз подумает до того как столько отстегнуть, переберет все варианты, etc.Кто-то покупает - когда иного выхода нет.А так - сервант с этой приблудой в отличие от... - практически бесплатный, да?Особенно на фоне 180К зелени.А значит позволить себе то что вчера было доступно только крутым сможет больше народа.Даже если цискарям это и не нравится, это их половые трудности.То что вчера было пределом мечтаний провайдера завтра будет у Васи Пупкина дома, в маленькой коробочке.<br> Эффективное блокирование тысяч IP в Linux (etc) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#52 Wed, 25 Jul 2007 23:02:09 GMT &gt;Всегда, если речь идет о scalability и performance <br>&gt;Дискуссия закрыта. <br><br>Ага, ну конечно.Смотрите, дети, вот еще один представитель вида животных "есть 2 мнения - мое и неправильное" ;)<br> Эффективное блокирование тысяч IP в Linux (etc) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#51 Wed, 25 Jul 2007 19:42:05 GMT &gt;Если сетевики не нормальные - халявщики, то они всё спускают до системных <br>&gt;администраторов, которым приходится самим работать. <br><br>Кого ваши разборки сетевиков и админов волнуют, а?Вещь безусловно полезная.И позволит обойтись без пачки кисок местами.Что есть гуд, ибо экономия.<br> Эффективное блокирование тысяч IP в Linux (etc) https://m.opennet.dev/openforum/vsluhforumID3/37832.html#50 Wed, 25 Jul 2007 19:35:05 GMT &gt;А для чего это нужно? <br><br>Для хардкорного фильтрования по куче правил.Скажем поищите файлик для емуля ipfilter.dat<br>Грубо говоря, большой список систем с которых вам 1 фиг никогда не пришлют полезные данные, а вот флудить, ддосить, слать левак и т.п. - могут.Когда рулесов становится тысячи - обычные фаерволы начинают дуреть, они на это не рассчитаны...<br>