RootConf / прямая трансляция

Wed Apr 15 14:46:18 MSD 2009

On Wed, Apr 15, 2009 at 02:30:15PM +0400, Михаил Монашёв wrote:

> Здравствуйте, Антон.
> 
> Tuesday, April 14, 2009, 9:01:43 PM, Вы писали:
> 
> AY> Алексей Бобок wrote:
> >> Не совсем понял про "Узкие места FreeBSD" "чем можно заменить файрволл"
> >> в чем глобальная суть?
> 
> AY> Любой firewall на серверах с большим трафиком это
> AY> дополнительная нагрузка на CPU.
> 
> AY> Поэтому его на веб-серверах лучше не использовать совсем, а для ограничения доступа
> AY> использовать другие методы.
> 
> AY> Например ограничить доступ по ssh можно через /etc/hosts.allow
> 
> AY> Зафильтровать определенный IP (или сеть) полностью (в случае
> AY> DoS-атаки) можно добавив маршрут вида:
> AY> route add bad_ip_or_net 127.0.0.2 -blackhole
> 
> Вдогонку...
> 
> Идея  метода в том, что роутинг кушает меньше процессора, чем фаервол.
> При  роутинге  используется  то  ли хэш, то ли дерево, и поиск по нему
> быстрый.   А  в  фаерволе  присходит  парсинг  всего  пакета  и  потом
> последовательный   перебор   нескольких   правил,  что  затратнее  про
> процессору.

Там ещё и локи отличаются: для роутинга - shared lock, а для файрволла
exclusive. То есть, дерево роутинга могут читать несколько трэдов.

> Вчера    был    отличный    доклад    на    тему   работы   фаерволов:
> http://www.rootconf.ru/papers2009/12352.html

-- 
Игорь Сысоев
http://sysoev.ru