Re[2]: RootConf / прямая трансляция
Михаил Монашёв
postmaster at softsearch.ru
Wed Apr 15 14:30:15 MSD 2009
Здравствуйте, Антон.
Tuesday, April 14, 2009, 9:01:43 PM, Вы писали:
AY> Алексей Бобок wrote:
>> Не совсем понял про "Узкие места FreeBSD" "чем можно заменить файрволл"
>> в чем глобальная суть?
AY> Любой firewall на серверах с большим трафиком это
AY> дополнительная нагрузка на CPU.
AY> Поэтому его на веб-серверах лучше не использовать совсем, а для ограничения доступа
AY> использовать другие методы.
AY> Например ограничить доступ по ssh можно через /etc/hosts.allow
AY> Зафильтровать определенный IP (или сеть) полностью (в случае
AY> DoS-атаки) можно добавив маршрут вида:
AY> route add bad_ip_or_net 127.0.0.2 -blackhole
Вдогонку...
Идея метода в том, что роутинг кушает меньше процессора, чем фаервол.
При роутинге используется то ли хэш, то ли дерево, и поиск по нему
быстрый. А в фаерволе присходит парсинг всего пакета и потом
последовательный перебор нескольких правил, что затратнее про
процессору.
Вчера был отличный доклад на тему работы фаерволов:
http://www.rootconf.ru/papers2009/12352.html
--
С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster at softsearch.ru
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.
More information about the nginx-ru
mailing list