Роман Москвитин Wrote:
-------------------------------------------------------
> А что мешает блочить фаерволом? Самый легких способ, с точки зрения
> нагрузки.
Если кол-во правил не большое - то да.
Если их переваливает за 3000, то перед тем как исходный пакет попадет на входящий порт на который вы поставили ACCEPT, он должен пробежать ваши 3000 правил.
При этом каждый новый пакет должен сделать тоже самое. В результате вы получаете некоторый трабл с неизвестными корнями - бекенды простаивают, цпу при этом не сказать чтобы нагружен, все кого-то "ждут", входная очередь переполнена.
Ну да, есть вообще-то ipset. Но кто сказал при каких кол-вах правил это все еще будет работать?
Лучше уж иметь небольшой лаг на обработке одного входящего соединения на 80й порт, пока nginx или ваш фронтенд не пробежится по вашим правилам блокировки.