forum.opennet.ru

"OpenNews: Новая версия пакетного фильтра для Linux - iptables 1.4.0"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Новая версия пакетного фильтра для Linux - iptables 1.4.0"	+/–
Сообщение от Andrew Kolchoogin (?), 26-Дек-07, 16:49
> Сейчас железки без MMU - скорее экзотика. Да ладно уж, экзотика. Xscale далеко не везде. >> Linux, как роутер, безусловно плох. Впрочем, *BSD ненамного лучше. Лучше. Но ненамного. > Если лучше, то почему куда ни плюнь в классе adsl роутеров/модемов & > AP - попадёшь в linux? Я обычно в VXWorks и его дериваты попадаю. Не туда плюю?-) >> IP Tables _сильно_ хуже PF'а, но это из-за самой архитектуры IP Tables. >> Слишком много точек входа в ядро, код перегружен и глючит. > Самый ужас - это conntrack. Сам netfilter умеет скалиться на SMP, чего > не умеет PF. PF _отлично_ скалируется на SMP. Настолько отлично, насколько отлично на SMP скалируется TCP/IP-стек вообще. С этим, правда, проблемы почти везде. :( Но во FreeBSD уже давно есть netisr, где всё хорошо. Пока речь не идёт о fragmentation/reassembly. :) >Да, сейчас и одноядерные процессоры весьма быстры, но когда у вас 4 >гигабитных сетевухи и 2 ядра... хм, пакетный фильтр, болтающийся на одном >cpu в случае DoS ничем не поможет. Пакетный фильтр в случае DoS не поможет, будь он хоть сто раз скалируемый. :)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

OpenNews: Новая версия пакетного фильтра для Linux - iptables 1.4.0, opennews, 26-Дек-07, 14:19 [смотреть все]

ключ -table в iptables-restore недавно нужен был, ток подумал и тут новость , valfrom, 26-Дек-07, 14:30 (4)
есть слова с pf не сравнится , V, 26-Дек-07, 14:48 (6) //
пакетный фильтр в случае ДоС как раз и спасает,особенно pf с лимитами , Аноним, 26-Дек-07, 17:53 (20) //
- Особенно, когда DoS ят Апач, вызывая динамический контент Загрузка проца взлета, Andrew Kolchoogin, 26-Дек-07, 21:51 (23) //
  - у нормальных людей опач работает бэкэндом А такую паразитную активность весьма , Дохтур, 26-Дек-07, 22:17 (26) //
    - И что Он от этого как-то сильно меньше CPU Time кушать начинает Exponen, Andrew Kolchoogin, 27-Дек-07, 01:37 (34)
      - Да с cpu time не проблема Опач обычно в prefork гоняют, так что чаще упираешься, Аноним, 27-Дек-07, 10:56 (51)
        
        Согласен Далеко не всегда В большинстве случаев, с которыми мне прих, Andrew Kolchoogin, 27-Дек-07, 18:13 (68)
    - Пакетный фильтр вас не спасет при DOS-е службы Уж слишком низкий может оказатьс, Nikolay, 27-Дек-07, 05:29 (41)
      - index php ещё, как правило, переживаемо А вот index pl может уже на 50 запр, Andrew Kolchoogin, 27-Дек-07, 09:23 (45)
        
        ОФФ Andrew Kolchoogin, респект за грамотную дискуссию Кое-что открыл для себ, Аноним, 27-Дек-07, 10:17 (47)
        
        Андрюша, хватит уже отвешивать себе комплименты с помощью виртуалов - смотреть п, гость, 27-Дек-07, 12:16 (54)
        
        Так и до дурки не далеко гоЗть - хорош трепаться - санитары идут , Ну а по те, Аноним, 27-Дек-07, 18:05 (66)
        
        Не надо наезжать на Perl, ибо связка mod_perl Apache дает очень хорошую произв, Antrew, 27-Дек-07, 11:21 (52)
        
        Упаси меня Ларри наезжать на Perl Просто PHP-интерпретатор легче перлового , Andrew Kolchoogin, 27-Дек-07, 18:29 (71)
        
        впику Вашей нелюбви к Netfilterпроблема DoS на вебсервис и границы синов далеки, Nick, 28-Дек-07, 09:36 (99)
        
        могу ошибаться -- но как мне думается тут и писать ничего не придётсяпроблему мо, pavel_simple, 28-Дек-07, 10:37 (102)
        дописать модуль к тому же apache, чтоб он рулил этой политикой, тогда можно хоть, Аноним, 28-Дек-07, 21:42 (109)
        
        кроме апача источников нагрузки бывает немало, Nick, 30-Дек-07, 23:40 (119)
        
        Ой, и вы ЭТО называете красивым и элегантным решением Это же жуткий костыль Н, nuclight, 30-Дек-07, 22:42 (118)
        
        Угукому следует орагнизовывать схему - тот организовывает схему А кому следует н, Nick, 30-Дек-07, 23:57 (120)
Наш новый гуру нам все объяснил Как же он смог подняться на такие высоты После , KdF, 27-Дек-07, 15:17 (57) //
- Извините за оффтоп, но в 1110 такими выпадами похожи на журналиста желтой прес, Аноним, 27-Дек-07, 17:36 (59) //
  - Да хоть всё сразу Мне приятно ощущать свою уникальность в антиобщественности, Andrew Kolchoogin, 27-Дек-07, 18:01 (64)
  - Может быть я и есть журналист желтой прессы, откуда вам знать А завтра напишу ст, KdF, 27-Дек-07, 21:02 (78)
- Кроме IT, в мире есть ещё много увлекательных наук Химия, например Или математ, Andrew Kolchoogin, 27-Дек-07, 18:00 (63)
KdF, спасибо посмеялся Гугл очень силен Хочется вериться, что Andrew Kolchoog, Mikhail, 27-Дек-07, 17:01 (58) //
- Да, Гугль про меня много разного рассказывает Абсолютно Химия и физи, Andrew Kolchoogin, 27-Дек-07, 18:03 (65) //
  - Замечательная дискуссия Андрей - вопрос, если можно Где учат кошерной работе с, sash, 27-Дек-07, 21:03 (79) //
    - Да вот, здесь, на OpenNet е Если, конечно, отфильтровывать гон от дискуссий, Andrew Kolchoogin, 28-Дек-07, 01:51 (93)
  - И еще вопрос Вы действительно где-то используете RSVP , sash, 27-Дек-07, 21:05 (80) //
    - Нет, конечно , Andrew Kolchoogin, 28-Дек-07, 01:51 (94)
мда, виртуальные интерфейсы по прежнему не поддерживаются , yurii, 28-Дек-07, 01:48 (92) //
- пардонпоясните что именно не поддерживается , Nick, 28-Дек-07, 09:39 (100) //
  - видимо он имел ввиду отсутствие возможности написать iptables -i eth1 1 , я, 09-Янв-08, 13:09 (121) //
    - а ну так это ж не отдельный интерфейс, и даже не виртуальный это просто labe, Nick, 09-Янв-08, 15:54 (122)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру