On Mon, Oct 16, 2006 at 09:42:29PM +0400, Artem Chuprina wrote: > Matvey Gladkikh -> Покотиленко Костик @ Mon, 16 Oct 2006 21:08:43 +0400: > > >> Ограничте до другого, более разумного для Вас предела, это раз. > MG> Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели. > > >> Сделайте также вот это: > >> > >> iptables -A INPUT -m state --state INVALID -j DROP > >> iptables -A FORWARD -m state --state INVALID -j DROP > > MG> С каких пор icmp стал stateful протоколом? > MG> Вашими советами вы путаете читателей рассылки. > > Я тебя сильно огорчу, если скажу, что до некоторых пределов вполне себе > stateful? Что в ICMP ответе положено цитировать начало вопроса, и на > этом основании вполне можно делать некоторые выводы? И если ESTABLISHED > для него, может, смысла и не имеет, то уж RELATED (кстати сказать, не > только по отношению к ICMP, ICMP host unreacheable к совершенно любому > IP-пакету может быть related) и INVALID для него вполне себе имеют > смысл.
Абсолютно не огорчите. По схожей логике и udp можно до "некоторых пределов" :) считать stateful. Мне интересно зачем эти правила со стейтами в данной ситуации советуют. ицмп это протокол начал/кончил? Как он соотносится с блокировкой нежелательного 200 в секунду начал? читаем вопрос поставленный в начале обсуждения... -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
