On Sat, Mar 26, 2005 at 10:41:48AM +0200, Valentin Nechayev wrote:
Sat, Mar 26, 2005 at 08:32:54, unisol wrote about "[uanog] посчитать удачные и неудачные incoming tcp connections":
Вынес я из своего smtpproxy поддержку ipfw&co в 2 отдельных софтины - expire daemon (экспайрит по часам правила) + добавлялка адресов (получает IP & RBL score и пущает ipfw). "ляпота" - 7000+ ipfw rules насобиралось(ну, кое что там раза по 2 подобавлялось - думаю эдак половина, где-то 300+ быстро экспайрящихся правил), количество входящих соединений радикально упало - наверно минимум на 50% (хотя, посмотрим, что будет посреди недели)... Надо использовать ipfw tables, меньше будет грузить. Ну - до "тяжело" пока ещё далеко ;). И тяжко таблицами управлять будет, у меня добавляются правила с номером, зависящим от времени добавления и RBL score - то есть, имеется несколько групп правил, в каждой группе они экспайрятся через 20...2900+ минут, то есть при такой системе нужно "навороченный" экспайрер+добавлятель и всё в БД попутно хранить - можно нарваться на большие грабли, если что-то из этого упадёт. Вобщем - пока что подожду 4 дня - получу "среднеустаканенный" набор "долгоиграющих" правил, пока вот имеем: ipfw show|wc -l 10368 Вот "маложивущий" набор - от 20 минут до 45 (почта от таких принимается и подменяется на notification): ipfw show 1000-4000|wc -l 603
попытками установления соединений и удачно установленными соединениями (то есть, чего кроме 'setup' ещё нужно считать - ACK без SYN на те же пары хостов и портов. чичас попробуем :)
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message