<div dir="ltr">Во первых уже ответили - stateful firewall. Во вторых таблицы. Очень помогает.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/1/27 teo <span dir="ltr"><<a href="mailto:nginx-forum@nginx.us" target="_blank">nginx-forum@nginx.us</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Роман Москвитин Wrote:<br>
-------------------------------------------------------<br>
<div class="im">> А что мешает блочить фаерволом? Самый легких способ, с точки зрения<br>
> нагрузки.<br>
<br>
</div>Если кол-во правил не большое - то да.<br>
Если их переваливает за 3000, то перед тем как исходный пакет попадет на<br>
входящий порт на который вы поставили ACCEPT, он должен пробежать ваши 3000<br>
правил.<br>
При этом каждый новый пакет должен сделать тоже самое. В результате вы<br>
получаете некоторый трабл с неизвестными корнями - бекенды простаивают, цпу<br>
при этом не сказать чтобы нагружен, все кого-то "ждут", входная очередь<br>
переполнена.<br>
Ну да, есть вообще-то ipset. Но кто сказал при каких кол-вах правил это все<br>
еще будет работать?<br>
Лучше уж иметь небольшой лаг на обработке одного входящего соединения на 80й<br>
порт, пока nginx или ваш фронтенд не пробежится по вашим правилам<br>
блокировки.<br>
<br>
Posted at Nginx Forum: <a href="http://forum.nginx.org/read.php?21,235603,235615#msg-235615" target="_blank">http://forum.nginx.org/read.php?21,235603,235615#msg-235615</a><br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div>