Гео - для чего лучше?

0

1

Как Вы считаете на чем надо блочить. На Nginx, или же iptables?

Ссылка

←	Как ограничить объем трафика с определённого сайта, для определённого IP?

iptables проброс портов

→

Смотря как много адресов/подсетей и по какой причине блочишь?

~~adriano32~~ ★★★
(15.11.11 21:21:46 MSK)

Ответ на: комментарий от adriano32 15.11.11 21:21:46 MSK

По причине той, что эти страны не нужны, например: Китай.

ZorG
(15.11.11 23:27:43 MSK) автор топика

иптаблесы, ибо режет весь трафик, а не только 80 порт. Базу для иптаблесов брать тут, обновляется регулярно - советую навелосипедить скрипт для автообновы по крону.

pekmop1024 ★★★★★
(15.11.11 23:31:24 MSK)

Ссылка

Ответ на: комментарий от ZorG 15.11.11 23:27:43 MSK

Личности, блочащие по стране не нужны.

~~vkos~~ ★★
(15.11.11 23:32:39 MSK)

Ответ на: комментарий от ZorG 15.11.11 23:27:43 MSK

Это глупо — блочить всю страну из-за тупых шаблонов. Блочь по факту на iptables.

~~adriano32~~ ★★★
(15.11.11 23:38:39 MSK)

Ответ на: комментарий от ZorG 15.11.11 23:27:43 MSK

Интереесно. Вот такие люди сайтом Бибиси заведуют.
http://www.bbc.co.uk/connect/campaigns/give_an_hour.shtml
Решил британец что Россия не нужна, значит Россия не нужна. Баста.

certanista
(15.11.11 23:59:54 MSK)

Ответ на: комментарий от adriano32 15.11.11 23:38:39 MSK

Я спрашиваю так как попросили узнать.

p.s. хочеться еще услышать мнения

ZorG
(16.11.11 00:43:12 MSK) автор топика

Ответ на: комментарий от ZorG 16.11.11 00:43:12 MSK

ipset

ventilator ★★★
(16.11.11 00:48:18 MSK)

Ответ на: комментарий от ventilator 16.11.11 00:48:18 MSK

Разве через ipset можно заблокировать страны? Насколько я помню то нет.

ZorG
(16.11.11 01:54:49 MSK) автор топика

Ответ на: комментарий от ZorG 16.11.11 01:54:49 MSK

http://bgp.he.net/country/CN

Собери диапазоны и заблокируй.

~~adriano32~~ ★★★
(16.11.11 02:02:35 MSK)

Ссылка

Ответ на: комментарий от vkos 15.11.11 23:32:39 MSK

+100500 печенек тебе к чаю.

~~bhfq~~ ★★★★★
(16.11.11 02:16:43 MSK)

Ответ на: комментарий от bhfq 16.11.11 02:16:43 MSK

Когда на твой хост сделает хотлинк китайский портал с парой миллионов просмотров в день, потому что у тебя картинка прикольная валяется, хостер взвоет от нагенеренного трафика и отрубит твой дедик, тогда-то ты запоешь иначе *coolface*

pekmop1024 ★★★★★
(16.11.11 02:22:08 MSK)

Ответ на: комментарий от pekmop1024 16.11.11 02:22:08 MSK

Ах вот оно что!.. Теперь мне понятно стало, зачем Китаю суперкомпьютеры. Имиджборды хостить, да? :)

~~adriano32~~ ★★★
(16.11.11 02:24:37 MSK)

Ответ на: комментарий от adriano32 16.11.11 02:24:37 MSK

Блочат китайцев именно по указанной причине :)

pekmop1024 ★★★★★
(16.11.11 02:28:14 MSK)

Ссылка

Ответ на: комментарий от ZorG 16.11.11 01:54:49 MSK

В пакете нет поля «страна» как и поля «AS», потому так или иначе все правила такого рода будут использовать заранее сгенерированный список ip префиксов, ибо делать на каждый пакет запрос куда то там - идиотизм.

ventilator ★★★
(16.11.11 02:41:44 MSK)

Ссылка

лучше блочить на уровне nginx, ибо при ддосе 10к+ китайцев, у тебя сожрет весь проц ksoftirq.
а nginx в таком случае можно будет выключить(на время разумеется).
и да, не лучший вариант блокать страны, это крайний случай, ибо не все базы geoip совершенны.

kam ★★
(16.11.11 06:23:23 MSK)

Ответ на: комментарий от kam 16.11.11 06:23:23 MSK

Благодарю всех за то что ответили.

ZorG
(16.11.11 14:32:20 MSK) автор топика

Ссылка

Ответ на: комментарий от kam 16.11.11 06:23:23 MSK

Если юзать ipset, то ksoftirq ничего не пожрёть. Всё зависит от атаки конечно, но при средней - всё будет ОК.

blind_oracle ★★★★★
(16.11.11 14:44:09 MSK)

Ответ на: комментарий от blind_oracle 16.11.11 14:44:09 MSK

ipset и то надо юзеть в цепочке raw, ибо после 600к pps также сервер загнется.
а гео ип, также как и recent и темболие string создают просто колосальную нагрузку на сервер.

kam ★★
(16.11.11 20:41:59 MSK)

Ссылка

Ответ на: комментарий от certanista 15.11.11 23:59:54 MSK

а как же наши русские, на пример с mail.ru которые блочат канаду?

Murg ★★★
(17.11.11 03:27:40 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как ограничить объем трафика с определённого сайта, для определённого IP?

Admin

iptables проброс портов

→

Похожие темы