LINUX.ORG.RU
решено ФорумAdmin

Как файрволлы справляются с блокировкой миллиона айпишников?

 


0

1

Сабж. Хочу понадёргать из интернета списки публичных проксей и заблокировать их. В связи с этим вопрос: не будет ли тормозить файрволл (или сервер), если сделать это? Использую firewalld вместо файрволла. Вариант «заблокировать всё кроме списка айпишников, куда входит в т.ч. мой» не подходит по очевидным причинам.

В связи с этим вопрос: не будет ли тормозить файрволл (или сервер)

Или будет или не будет, другого ответа не ждите с таким «подробным» изложением вопроса.

Использую firewalld вместо файрволла

Сколько раз повторять, что это не более чем оболочка?

anc ★★★★★
()

Ну смотри: айпи - это 4 байта, миллион адресов - 4 миллиона байта, поиск числа (айпи) в массивые из миллиона адресов занимает O(n) (те почти всегда он сравнивается с миллионом значений). У процессора есть частота. 1 Мгц = 1,000,000 тактов в секунду, у современных многоядерных хз тактов в секунду выполняется, но можно смело утверждать, что поиск адреса среди миллионов займет менее 1/1000 секунды… те от миллиона ему не поплохеет

quier
()
Ответ на: комментарий от quier

Если у него уже есть ip-шники, и ничего, кроме как их отбрасывать, ему не надо, то можно засунуть вообще до всякого роутинга в какой-нибудь Ingress (Prerouting на крайняк) всем списком. Тогда фильтр будет мочить пакеты прямо от драйвера без всяких лишних тряхомудий.

SkyMaverick ★★★★★
()
Ответ на: комментарий от quier

поиск числа (айпи) в массивые из миллиона адресов занимает O(n) (те почти всегда он сравнивается с миллионом значений)

Думаешь он ищет прямо по неотсортированному списку и просто перебором? Думается мне, что там вероятнее O(log n), чем просто перебор.

Zhbert ★★★★★
()
Ответ на: комментарий от KivApple

Обычно банят сразу подсети откуда идут боты.

Это очень негодное «Обычно». И таким «Обычно» обычно промышляют мелкозернистые шарашки.

anc ★★★★★
()