Impacto do tamanho dos hosts.deny na capacidade de resposta da rede

Navegue suas respostas
5

Pretendo negar completamente o acesso a cerca de 2000 endereços IP, adicionando entradas adequadas no arquivo hosts.deny . Isso terá um impacto na responsividade do sistema quando acessado remotamente por IPs legítimos?

    
por Born To Ride 03.11.2009 / 04:57

4 respostas

8

Isso fará com que a conexão inicial seja uma fração mais lenta, mas o passado não deve ter relação com a capacidade de resposta uma vez conectada.

De um modo geral, hosts.deny é bastante rápido: em um teste que acabei de executar, um host.deny de comprimento zero levou 0.93 segundos para iniciar e fechar uma conexão ssh ("time ssh testhost env"). Com um hosts.deny de 64.010 linhas (do formato "ALL: 10.10.x.y", com xey correndo de 2 a 254), a mesma conexão demorou 1,03 segundo. Todos os tempos foram calculados sobre quatro amostras.

Obviamente, sua milhagem pode variar e, por isso, sugiro que teste, mas duvido que você tenha sérios problemas.

    
por 03.11.2009 / 06:25
2

Também é possível usar iptables com rastreamento de conexão, o que eu acho que seria um pouco mais rápido e ter o benefício adicional de ser independente de protocolo, ou seja, ser igualmente adequado para negar conexões a tcp / udp / icmp ou qualquer serviço que você possa ser correndo.

    
por 03.11.2009 / 07:02
2

  • Esses endereços 2000 podem ser agregados?

    hosts.deny terá as definições do CIDR. Por exemplo, deve ser mais rápido e fácil de gerenciar: 

    10.0.0.0/30
10.0.1.0/30

    Do que o equivalente: 

    10.0.0.1
10.0.0.2
10.0.1.1
10.0.1.2

  • Isso garante um firewall?

    Se você está fazendo muito isso, então é realmente o dever de um firewall em vez do host em si. Seria mais fácil de gerenciar centralmente e (como Jim observa) o PF do OpenBSD com monitoramento stateful faria um trabalho realmente leve.

por 03.11.2009 / 11:07
1
[olafrv@eqqus ~]$ cat /etc/hosts.deny | grep ^ALL | wc -l

8004

Com esse valor, não tenho problemas nem atrasos em um PC Intel Core Dual Core.

O arquivo hosts.deny é mantido automaticamente com denyhosts ( link )

    
por 06.08.2011 / 08:00

Tags

Software de particionamento do disco rígido para Windows ESXi 4.0 redimensiona o tamanho do disco rígido da VM