Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: RootConf / прямая транс ляция
On Wed, Apr 15, 2009 at 02:30:15PM +0400, Михаил Монашёв wrote:
> Здравствуйте, Антон.
>
> Tuesday, April 14, 2009, 9:01:43 PM, Вы писали:
>
> AY> Алексей Бобок wrote:
> >> Не совсем понял про "Узкие места FreeBSD" "чем можно заменить файрволл"
> >> в чем глобальная суть?
>
> AY> Любой firewall на серверах с большим трафиком это
> AY> дополнительная нагрузка на CPU.
>
> AY> Поэтому его на веб-серверах лучше не использовать совсем, а для
> ограничения доступа
> AY> использовать другие методы.
>
> AY> Например ограничить доступ по ssh можно через /etc/hosts.allow
>
> AY> Зафильтровать определенный IP (или сеть) полностью (в случае
> AY> DoS-атаки) можно добавив маршрут вида:
> AY> route add bad_ip_or_net 127.0.0.2 -blackhole
>
> Вдогонку...
>
> Идея метода в том, что роутинг кушает меньше процессора, чем фаервол.
> При роутинге используется то ли хэш, то ли дерево, и поиск по нему
> быстрый. А в фаерволе присходит парсинг всего пакета и потом
> последовательный перебор нескольких правил, что затратнее про
> процессору.
Там ещё и локи отличаются: для роутинга - shared lock, а для файрволла
exclusive. То есть, дерево роутинга могут читать несколько трэдов.
> Вчера был отличный доклад на тему работы фаерволов:
> http://www.rootconf.ru/papers2009/12352.html
--
Игорь Сысоев
http://sysoev.ru
|
