практика показывает, что mtu 1472 — это в итоге лишний гемморой на голову с разными хорошими модемами.
а что касается шейпинга, то есть более простой вариант:
/sbin/tc qdisc del dev $IFNAME root
/sbin/tc qdisc add dev $IFNAME root tbf rate ${DOWN}Kbit latency 10ms burst $[$DOWN*128]
/sbin/tc qdisc del dev $IFNAME handle ffff: ingress
/sbin/tc qdisc add dev $IFNAME handle ffff: ingress
/sbin/tc filter add dev $IFNAME parent ffff: protocol ip prio 10 u32 match ip src 0.0.0.0/0 police rate ${UP}Kbit burst $[$DOWN*128] mtu 9k drop flowid :1
Я бы добавил еще TXT-запросы — без них SPF не сильно будет работать — а это достаточно действенный способ борьбы со спамом (мы ведь не забываем про своих корпоративных клиентов, да? :)
PS 100k клиентов:
16:25:34 CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s
16:25:34 all 25,48 0,18 7,99 0,10 0,58 1,35 0,00 64,32 166,34
на
deb40:~# cat /proc/cpuinfo | grep 'model name'
model name: Intel® Xeon(TM) CPU 3.00GHz
model name: Intel® Xeon(TM) CPU 3.00GHz
model name: Intel® Xeon(TM) CPU 3.00GHz
model name: Intel® Xeon(TM) CPU 3.00GHz
Хотелось бы отметить, что репликация в mysql 5.0.x и более ранних версиях позволяет существенно увеличить производительность общей системы — используется так называемый SBR, в котором реплицируются не изменения, а sql-запросы, и по сути, нагрузка на мастер и на slave сточки зрения изменения данных — одинаковая.
В mysql 5.1.x появилась row-based replication, но я еще боюсь ставить 5.1, видя какие баги там бывают :)
Да, закономерно. У нас как-то был похожий случай — взломали аккаунт одного пользователя, имевшего sudo NOPASSWD на сервере, и через ключ другого поимели доступ на несколько серверов.
Вообще, всё что касается legal intercept - реализуется достаточно несложно. Большинство современных маршрутизаторов оборудованы этой "фичей", причем запуск процесса перехвата траффика конкрентного абонента делается сотрудниками спецслужб прозрачно для оператора (т.е. сделав sh run или что-то подобное, сисадмин ничего не увидит).
В россии СОРМ достаточно успешно применяется в большинстве провайдеров, и большого труда перехватить траффик пользователя нет. Проблема в том, что бы его расшифровать.
А если сверху добавляется еще openvpn на сервер друга в Нидерландах, то шансы спецслужб стремятся к нулю. Но, вообщем шансы есть. Так что паранойя - это не свойство, это процесс :-)
Думаю, что следующим за IPv6 будет IPv6.1, следующая проблема будет не в нехватке IP-адресов, а в несовершенстве протоколов. В частности, не в IPv4, не в IPv6 нету средств защиты от DDoS-атак.
а что касается шейпинга, то есть более простой вариант:
/sbin/tc qdisc del dev $IFNAME root
/sbin/tc qdisc add dev $IFNAME root tbf rate ${DOWN}Kbit latency 10ms burst $[$DOWN*128]
/sbin/tc qdisc del dev $IFNAME handle ffff: ingress
/sbin/tc qdisc add dev $IFNAME handle ffff: ingress
/sbin/tc filter add dev $IFNAME parent ffff: protocol ip prio 10 u32 match ip src 0.0.0.0/0 police rate ${UP}Kbit burst $[$DOWN*128] mtu 9k drop flowid :1
PS 100k клиентов:
16:25:34 CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s
16:25:34 all 25,48 0,18 7,99 0,10 0,58 1,35 0,00 64,32 166,34
на
deb40:~# cat /proc/cpuinfo | grep 'model name'
model name: Intel® Xeon(TM) CPU 3.00GHz
model name: Intel® Xeon(TM) CPU 3.00GHz
model name: Intel® Xeon(TM) CPU 3.00GHz
model name: Intel® Xeon(TM) CPU 3.00GHz
deb40:~# free -m
total used free shared buffers cached
Mem: 3043 2590 453 0 19 552
-/+ buffers/cache: 2017 1025
Swap: 1529 154 1374
+ на этом же сервере крутится корпоративная почта на 500 человек
— Мама, зачем?
— Ну, масло на хлебушек намажешь, с консервами скушаешь.
— Мама, а гвозди??
— Положила, сынок, положила.
В mysql 5.1.x появилась row-based replication, но я еще боюсь ставить 5.1, видя какие баги там бывают :)
В россии СОРМ достаточно успешно применяется в большинстве провайдеров, и большого труда перехватить траффик пользователя нет. Проблема в том, что бы его расшифровать.
А если сверху добавляется еще openvpn на сервер друга в Нидерландах, то шансы спецслужб стремятся к нулю. Но, вообщем шансы есть. Так что паранойя - это не свойство, это процесс :-)