Бесплатно дарю идею: роутить нехороших мальчиков в null0 (или в lo0). Нагрузка на процессор будет на порядок меньше, даже если таких маршрутов будут тыщщщщщи. А вообще женится Вам пора, барин. Paul Arakelyan wrote:
Hi! Вынес я из своего smtpproxy поддержку ipfw&co в 2 отдельных софтины - expire daemon (экспайрит по часам правила) + добавлялка адресов (получает IP & RBL score и пущает ipfw). "ляпота" - 7000+ ipfw rules насобиралось(ну, кое что там раза по 2 подобавлялось - думаю эдак половина, где-то 300+ быстро экспайрящихся правил), количество входящих соединений радикально упало - наверно минимум на 50% (хотя, посмотрим, что будет посреди недели)...
Вот и думаю - чего б написать в ipfw, чтоб считать разницу между попытками установления соединений и удачно установленными соединениями (то есть, чего кроме 'setup' ещё нужно считать - бо считать deny в куче появляющихся и исчезающих правил - как-то нереально).
-- Pavel Narozhnyy Product manager - Datacom O. Gonchara, 73, 5 floor, Kiev, Ukraine Phone/fax: +380-44-490-22-18 mobile: +380-50-276-00-84 http://data.huawei.com/ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message