Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)

Subject: Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
From: danchev@xxxxxxxxx (George Danchev)
Date: Sun, 3 Feb 2002 02:51:43 +0200

On Sunday 03 February 2002 01:03, you wrote:
> Eh, az ne iskah da zapochwam woina za twa kolko dobar ili losh e iptables -
> prosto spodelih nabludenie po waprosa ...

nqma vojni, prosto share-vane na malko misli t.k. :)

> Nito pak kazah che reshenieto posocheno w po-predishnite email-i ( zabrawih
> weche s koia progy beshe) e losho - sigurno si ima swoite dostoinstwa - ne
> sam go polzwal. W momenta sam s iptables ( BTW s nego sashto moje da se
> filtrirat loshi packeti) i snort. (wapros na lichen izbor).

4eki 4eki malko :) . stavashe vypros za edno po-universalno reshenie. da si 
pospestish malko trafik i ne samo tozi na port 80 :) 

> Kakto i da e - sled kato weche se zahwana spora - pak shte powtoria s malko
> poweche podrobnosti:
>
>  Pochti bez da iskam zabeliazah che ping-a kam niakoi game server-i
> (Counter Strike) se uwelichi  sled kato pusnah malak script koito dobawia

e neznam ... no pinga mozhe da se ka4i poradi mnogo pri4ini/problemi 
vklu4itelno i fizi4eski. no mozhe i da si prav, ti si znaesh.

> wsichkite "loshi" IP-ta kam iptables - i saotwetno se namali kato gi mahnah
> ot filtera:
>
> iptables -A INPUT -i eth0 -p TCP -s $BADIP --dport 80 -j DROP
>
>
> Kakto se wijda ot gornia red twa go pochnah zaradi Nimda/CodeCodeRed &
> friends.  Mejduwremenno (kakto predpolagam i powecheto ot was biha
> naprawili) porowih po internet i namerih razlichni reshenia i mnenia po
> waprosa - kato cialo se beshe pochnalo ot neshto podobno na moia script i
> postepenno po prichini obiasneni ot awtorite kato nejelano pretrupwane na
> filtera s reject-nati IP-ta w iptables biaha predlojeni drugi reshenia ...
> az si izbrah towa sas httpd.conf.

dobre, no Internet ne e samo service-a na port 80 :) ... A i Apaha ne e 
naj-byrziq demon na sveta, da  ostavim 4e i kernela do golqma stepen mozhe da 
izzeme tezi funkcii na webservera ot user space to4no poradi performance 
pri4ini - no samo za static requests.  Sega kakvo da prenesem packet 
filter/firewall koda v user-space li ?  Performance drop x10 v naj-dobriq 
slu4aj :) 

> Malko poiasnenia:
> 1. Scripta za sabirane na IP-tata, kakto i iptables prawilata izmislih i
> napisah sam - taka che ne pretendiram da sa idealni nito optimizirani -
> nishto chudno da sam gi "zabranil" ne kakto triabwa i winata za zabawianeto
> da e moia (w koeto si zapazwam prawoto da se samniawam)
>
> 2.  Sled kato obmislih neshtata ot wsichki strani - reshih che e po-dobre
> da naprawia taka che da se reagira samo kogato ima problem - ako zabrania
> wsichki "loshi" IP-ta samo zashtoto ne sa "bili poslushni" kogato sam gi
> hwanal - to dori i kato stanat "dobri" pak shte sa zabraneni ...

ama nikyf problem prez daden interval ot vreme da iz4istvash add-natite ve4e 
loshi IP-ta, i te ste stavat dobri do sledvashtiq pyt, kogato  se uzdunqt, i 
taka :).

> 3. W sluchaia sas "zabawianeto" imah predwid che filtrirabeto s iptables
> moje da ima makar i malak (w powecheto sluchai nezabelejim) efekt warhu
> barzodeistwieto. Waw wseki sluchai da se twardi che sas iptables ne se
> towari servera ili pak niamat NIKAKWO wlianie warhi nego ...??? aide de

e imat, no v slu4aq stava vypros za prenebrezhimo malko koli4estvo pravila. 
Vse edno da dobavish nqkolko vhost-a na Apacheto i da se srine performance 
... nesto ot sorta. i stiga s tova iptables :) . Cqlata rabota se vyrshi ot 
Packet filtering coda v kernela, kojto byrka v headerite na preminavashtie ip 
paketi. Netfilter v Linux 2.4 mozhe da se menagira i s ipchains i ipfwadm. No 
tova nqma absolutno nikakvo kasatelstvo s performance na packet filtering 
koda v kernela... tova sa prosto instarumenti s 4iqto pomost si "govorish" s 
kernela. te samite nisto ne filtrosvat, blockvat i t.n..  i _ne_ sa 4ast ot 
kernela... Za da polzvash Linux 2.4 Netfilter s ipchains i ipfwadm (trqbva da 
imash instalirani tezi toolz estestveno) i kernel modula ip_tables.o da _NE_ 
byde zareden ili compiled-in, a da zaredish ipchains.o i ipfwadm.o kernel 
modulite. Tova e specialna usluga  za tezi koito izpitvat nostalgiq po old  
ipfwadm/ipchains days... 

> Sajaliawam ako sam zasegnal niakoi, ili ste me razbrali pogreshno - twa ne
> mi e bila celta.

molq molq, nqma kakvo da se zasqgame :) . Nqma bezgreshni hora i systemi.
Oh, az se predavam :)

-- 
Greets,
fr33zb1
===========================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora

Във връзка с:
- Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
  - Изпратено от: emo@xxxxxxxxxx (Emil Tantilov)

Относно:
- Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
  - Изпратено от: emo@xxxxxxxxxx (Emil Tantilov)

Предишно по дата: Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
Следващо по дата: Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
Предишно по тема: Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
Следващо по тема: Re: lug-bg: iptables performance (was: tail -f | grep ... | cat ... | awk ...)
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG