On Mon, Mar 28, 2005 at 08:14:30AM +0300, Pavel Narozhnyy wrote:
Бесплатно дарю идею: роутить нехороших мальчиков в null0 (или в lo0). Экспайрить КАК? У меня ключевым моментом явилась именно простота реализации expire - прибил несколько номеров правил (эдак 5/минуту) - и никаких проблем. Такие танцы с маршрутами требуют БД-подобной сущности. Хотя на самом деле то, что blocking/unblocking вынесено в отдельные софтины, позволяет изголяться как угодно. В принципе я уже придумал, как такое сделать, не увлекаясь БД, но как-то странно оно выглядеть будет :). Несколько каталогов(по 1 на score), в каждом из них по N,M,... каталогов(по одному на единицу времени жизни правила), в которых лежат файлы с названиями из IP.
Нагрузка на процессор будет на порядок меньше, даже если таких маршрутов будут тыщщщщщи. Честно говоря, до сих пор плохо представлял себе, каково оно получить 12,000+ правил и как оно фурычить будет... Если каждый пакет проходит через ту кучу правил - то взлёт interrupt rate до каких-то нереальных величин - 70+% на P3-1GHz, при том, что если добавить перед всем. ipfw add 50 skipto 998 tcp from any to any 25 via fxp0 in setup то получим только 1-4%. Что за глупость (ну - system time - я понимаю, но прерывания тут при чём?!)
А вообще женится Вам пора, барин. "Что он вам плохого сделал?", как говорит моя мама :)
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message