Je passe sous silence mon désaccord avec le principe de bloquer TOR, qui revient à bloquer un moyen (technique) au lieu de résoudre le problème sous-jacent
• D'accord avec Akira. Passer par la table SQL sera lourd (chaque test d'IP requiert le traitement par un worker Apache, puis le lancement du process PHP, puis la connexion à la BDD, qui a une limite de connexions simultanées généralement, puis l'exécution de la requête et enfin, le renvoie d'une réponse type 403). Sans compter le CRON (mais on le retrouvera surement dans le cas d'iptable si tu veux une MaJ automatique et régulière).
• Sinon, sans reload / restart, il n'y a apparemment que le htaccess d'utilisable (via un include si besoin). Au besoin, les plages d'IP peuvent réduire la taille de la liste.
• A noter: ce sera lourd de passer par les configs d'Apache, puisqu'il faudra lire N lignes de code pour savoir si 1 adresses IP est bloquée. Via un système arborescent (iptables s'en sert surement, mais je n'ai aucune preuve de cela), on lira toujours le même nombre de lignes (profondeur d'arbre) peu importe le nombre d'IP bloquées (nombre de feuilles). Bref, Apache sera forcément hyper-lourd, et pour le coup, Apache+PHP+BDD sera plus léger, mais iptables seul sera encore plus léger (et firewall seul sera top: l'hébergeur n'offrirait-il pas déjà une solution toute prête dans ses firewalls, pour bloquer TOR?).
• D'accord avec Akira. Passer par la table SQL sera lourd (chaque test d'IP requiert le traitement par un worker Apache, puis le lancement du process PHP, puis la connexion à la BDD, qui a une limite de connexions simultanées généralement, puis l'exécution de la requête et enfin, le renvoie d'une réponse type 403). Sans compter le CRON (mais on le retrouvera surement dans le cas d'iptable si tu veux une MaJ automatique et régulière).
• Sinon, sans reload / restart, il n'y a apparemment que le htaccess d'utilisable (via un include si besoin). Au besoin, les plages d'IP peuvent réduire la taille de la liste.
• A noter: ce sera lourd de passer par les configs d'Apache, puisqu'il faudra lire N lignes de code pour savoir si 1 adresses IP est bloquée. Via un système arborescent (iptables s'en sert surement, mais je n'ai aucune preuve de cela), on lira toujours le même nombre de lignes (profondeur d'arbre) peu importe le nombre d'IP bloquées (nombre de feuilles). Bref, Apache sera forcément hyper-lourd, et pour le coup, Apache+PHP+BDD sera plus léger, mais iptables seul sera encore plus léger (et firewall seul sera top: l'hébergeur n'offrirait-il pas déjà une solution toute prête dans ses firewalls, pour bloquer TOR?).