From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ashen@nsrz.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.1 required=5.0 tests=AWL,BAYES_00,
	DNS_FROM_OPENWHOIS autolearn=no version=3.2.5
X-Virus-Scanned: amavisd-new at nsrz.ru
Message-ID: <4C22144D.9010207@nsrz.ru>
Date: Wed, 23 Jun 2010 18:03:57 +0400
From: =?KOI8-R?Q?=E1=CC=C5=CB=D3=C5=CA_=FB=C5=CE=C3=C5=D7?=
 <ashen@nsrz.ru>
Organization: =?KOI8-R?Q?=EF=E1=EF_=EE=F3=F2=FA?=
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US;
	rv:1.9.1.10pre) Gecko/20100406 Lightning/1.0b2pre Thunderbird/3.0.4
MIME-Version: 1.0
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
References: <20100622214400.GA22145@wo.int.altlinux.org>	<201006231123.57886.a_s_y@sama.ru>	<20100623110323.GC18051@wo.int.altlinux.org>	<hvsq62$ujm$2@dough.gmane.org>	<4C21EF12.2030009@nsrz.ru>	<20100623112823.GH18051@wo.int.altlinux.org>
	<hvsv2t$g9s$3@dough.gmane.org>
In-Reply-To: <hvsv2t$g9s$3@dough.gmane.org>
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-Antivirus: Dr.Web (R) for Unix mail servers drweb plugin ver.5.0.0.2
X-Antivirus-Code: 0x100000
X-Drweb-SpamState: no
X-Drweb-SpamScore: -200
X-Drweb-SpamState-Num: 0
X-Drweb-SpamVersion: Vade Retro 01.294.03 AV+AS Profile: <none>; Bailout: N/A
Subject: Re: [sisyphus] I: openssh-server-5.3p1-alt2: disabled
 PasswordAuthentication for "wheel" group members
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ashen@nsrz.ru,
	ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 23 Jun 2010 14:04:06 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/4C22144D.9010207@nsrz.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

23.06.2010 16:36, Anton Farygin пишет:
> 23.06.2010 15:28, Dmitry V. Levin пишет:
>> On Wed, Jun 23, 2010 at 03:25:06PM +0400, Алексей Шенцев wrote:
>>> 23.06.2010 15:12, Anton Farygin пишет:
>>>> а ты всё ещё используешь анахронизм в виде iptables-save ?
>>> Я к примеру использую. И перекладывать ~3000 строк правил для firewall
>>> из iptables на etcnet как то трудозатратно.
>>
>> Насколько я понимаю, firewall в etcnet не использует
>> iptables-restore, и,
>> как следствие, установка ~3000 правил происходит на 3 порядка дольше.
>> Это неприемлемо.
>
> Точнее сказать, что необходимость в 3000 правилах для файрволла сама
> по себе довольно странна.
Так исторически сложилось. На одном интерфейсе по несколько ip-адресов,
несколько интерфейсов.
Впускать, выпускать ip видеофоны, голосовая ip телефония, банкоматы и
т.д. и т.п.
> есть же ipset, который по моим оценкам на таком количестве правил
> снизил нагрузку на систему в целом на пять-десять процентов при 70
> мегабитах.
Там ещё p5, так что ipset вроде не применим. Жду b6, тогда и буду
переходить и крутить ipset.
Держать рабочий сервер на сизифе пока нет желания ... ;)

Но вот за инфу, что при использовании ipset снижается на ~5-10%
нагрузка, спасибо.