Jeffrey Merkey представил (http://lkml.org/lkml/2009/1/8/467) в списке рассылки разработчиков Linux ядра код нового специализированного пакетного фильтра FF, предназначенного для блокирования большого числа IP адресов в сетях с интенсивным трафиком. FF состоит из модуля Linux ядра и утилиты для управления пакетным фильтром. Представленный пакетный фильтр не отличается такой гибкостью как iptables, но опережает последний по производительности (блокирование производится на уровне драйвера e1000) и потребляет значительно меньше памяти в расчете на один IP.
Главная задача FF - защита от DoS/DDoS атаки и блокирование различного флуда и паразитного трафика. В качестве примера, представлен код для интеграции разработки с postfix, для борьбы с роботами спамеров, выступая в роли более жесткой системы блокирования для серых или черных списков. На почтовом сервере с 1Гб ОЗУ 500,000
URL: http://lkml.org/lkml/2009/1/8/467
Новость: http://www.opennet.dev/opennews/art.shtml?num=19731