Здравствуйте.
Если кол-во правил не большое - то да.
> Если их переваливает за 3000, то перед тем как исходный пакет попадет на
> входящий порт на который вы поставили ACCEPT, он должен пробежать ваши 3000
> правил.
>
Stateful firewall
> При этом каждый новый пакет должен сделать тоже самое. В результате вы
> получаете некоторый трабл с неизвестными корнями - бекенды простаивают, цпу
> при этом не сказать чтобы нагружен, все кого-то "ждут", входная очередь
> переполнена.
> Ну да, есть вообще-то ipset. Но кто сказал при каких кол-вах правил это все
> еще будет работать?
100k адресов в ip:hash работает ОК. Дальше не пробовал, но не думаю, что
здесь могут возникнуть какие-то проблемы.
--
Best Regards,
Vadim Lazovskiy
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru