Arrg, to bandwith mou !!

[Giorgos Keramidas]

From: DJ Art <djart at linux.gr>
Subject: Re: Arrg, to bandwith mou !!
Date: Thu, Sep 20, 2001 at 01:07:13PM +0300

> On Wednesday 19 September 2001 10:35, I.Ioannou wrote:
> 
> > Exei kaneis kana kalo script na kanei ban-out (firewall rules)
> > aytes ths IPs (kai pws ginetai me ta low permissions
> > pou exei o apache ?)
> 
> Το παρακάτω σου κάνει ?? Πρέπει να το έχω βρεί κάπου από το Linux 
> Journal:
> 
> είναι cronjob:

Όλα τα αντίστοιχα script έχουν τα εξής προβλήματα:

Αν κάποιος μέσα από μια εταιρεία που βγαίνει με NAT/masquerading σου κάνει
αιτήσεις επειδή κόλλησε κάποιο ιο, μπλοκάροντας το IP του έχεις αποκλείσει ΟΛΗ
την εταιρεία.

Οι κανόνες ελέγχονται σειριακά από τα πιο πολλά firewalls, κι αν κάποιος κάνει
spoof τις αιτήσεις του ιου από πάρα πολλά IP, ή ο ιος διαδοθεί πολύ, οι
κανόνες του firewall θα γίνουν τόσο πολλοί που το μηχάνημα θα καταναλώνει όλο
και πιο πολύ cpu για να τα φιλτράρει όλα.  Μια σχετικά καλή λύση αυτού του
προβλήματος είναι expiration των κανόνων μετά από ένα συγκεκριμένο χρονικό
διάστημα, αλλά θα χρειαστεί να κρατάς εσύ κάπου μια βάση με τα IP που έχεις
αποκλείσει, και κάποιο timestamp που θα σε βοηθήσει να υλοποιήσεις κάποιου
είδους expiration.

Χμ, για να μην πει κανείς ``μα πως του ρθε τώρα;'' ας κάνουμε το εξής:

	# ipfstat -ni | wc -l
		*
	      472

Με κάποιο αντίστοιχο script, τις τελευταίες δύο μέρες, έχω καταλήξει να έχω
πάνω από 400 κανόνες στο ipfilter του FreeBSD μου.  Προς το παρόν τους άφησα,
καθώς δεν φαίνεται να επηρεάζει τρομερά την απόδοσή του, και είναι ένας τρόπος
να ``συλλέγει κάποιος διευθύνσεις που την πάτησαν''.

- giorgos