Исходное сообщение
"Эффективный способ блокировки нек. IP-адресов в IPTABLES" Отправлено Arifolth, 17-Янв-05 17:39
>>>>а что, одно правило с пятьюдесятью IP-адресами лучше? используй отдельную таблицу, в >>>>которую все IP-ы и загоняй... >>> >>>Конечно использование отдельной таблицы для проверки валидности IP-адресов повышает наглядность сктипта применения >>>правил брандмаура но не повышает производительность его работы... или   >>>я не прав  (все равно где бы ни стояла эта >>>таблица проверять на валидность придется все входящие запросы) >>> >>>А вот интересно есть ли возможность прикрытить к IPTABLES всешний файл соответственно >>>в нем и будут находиться эти нежелательные IP-адреса и также впоследствии >>>обнаружения сканирования или что-то другого, можно как добавить так и удалить >>>оттуда некоторый IP-адрес >>>.....   или это уже функции специальных программ защиты? >> >> >>Блокировка по IP не будет сильно тормозить машину. Разве что у тебя >>там стоит первый пень или 486, или количество строк превалит за >>несколько десятков тысяч, или трафик сумасшедший. А насчет эффективного добавления исключения... >>Фирмы производящие IDS давно бы разорились, если бы кто-нибудь придумал эффективный >>и несложный способ делать это! > >Спасибо за ответ! >На самом деле у меня процессор немного посерьезнее P-I (P-IV), так что >будем использовать отдельныую таблицу с целью проверки валидности IP-адресов, Неважно   >что в ней будет много правил. Причем при обнаружение сканирования или >прочмх неприятных моментов всегда можно добать на ходы правилов эту таблицу.. > насчёт добавить при сканировании: portsentry поможет (смотри KILL_ROUTE)