Quote:
Originally Posted by Feel1986
Ну если запущено несколько серверов. Каждому отдельный процесс не запускать редиректа
Перехватываем весь ff54:ff56, редиректим на прокси, прокси отдает кеш запрашиваемого IP  ORT. Прокси пускай получает массив ответов серверов и отдает информацию по тому что спрашивали.
А так прийдется каждый сервер отдельно настраивать, проксировать и фильтровать |
Процесс и так один будет. Настраивать в любом случае надо каждый. Просто указываешь сервер в конфиге и всё. Всё что описано будет опрашиваться и проксироваться. Автогенерация конфига это скорее про крупных хостеров, обычно серверы добавляются не так часто, текущего функционала должно хватать.
Quote:
Originally Posted by Feel1986
Так же вопрос, когда мы редиректим в NAT на прокси, чтобы скрипт получил и обработал трафик, его нужно запустить в систему, а как же conntrack, он забьется при атаке.
Тут надо как-то получить пакет, ответить на него и сразу удалить с контрек srcIP. Никакие хешлимиты тут не помогут, ибо будет потеря трафика
|
Всё так, пока эта проблема присутствует и надо немного изменить архитектуру. До conntrack вообще допускать не надо. Что касается потери трафика, то главное не терять легитимный трафик, в основном в этом сложность. Здесь у меня тоже есть идеи для полноценного решения.
__________________