В Пнд, 16/10/2006 в 21:23 +0400, Matvey Gladkikh пишет: > On Mon, Oct 16, 2006 at 07:13:16PM +0400, Alexander Vlasov wrote: > > Вообще когда советуют инструмент отличный от предполагаемого, стоит > > сказать чем именно он лучше в данном случае. Типа "a не может сделать b, > > а с может сделать b" > > Матвей Двинятин и Читатель Друзь, против вас играет Александр Власов из ... :) > А теперь внимание простые до безобразия *вопросы*: > > 1. как штатными средствами без пересборки ядра с патчами в многоуважаемом > фаерволе > на базе линукс сделать проверку аналогичную synproxy в openbsd PF? (не надо > копать в сторону всяких > там кук) > > 2. как штатными средствами без пересборки ядра с патчами в многоуважаемом > фаерволе > на базе линукс что то делать с каждым например 2ым udp пакетом? > > 3. как штатными средствами без пересборки ядра с патчами в многоуважаемом > фаерволе > на базе линукс ограничивать количество соединений с *одного* ip. (может уже и > появилось > спустя два года а я могу и не знать :) ) > > линукс фаервол с ip таблицами пригоден разве что для того чтобы форцевать > трафиком соседу по подъезду. > он **абсолютно** непригоден для защиты публичных и маломальски важных > сервисов в агрессивной IP среде.
Если продолжить: А как сделать что-то с каждым 3 udp пакетом отосланным с компьютера черного цвета и по дороге прошедший через 4 роутера, два из которых белого цвета, а два с пассивной системой охлаждения. ---------------- Если серьёзно, готовых решений под все ситуации не бывает. Есть стандартные (распрастранённые) ситуации, для которых есть стандартные решения. Поэтому давайте разговаривать по существу: опишите ситуацию и обьясните почему её нельзя решить стандартными средствами Линукс. Относительно Вашего изначального вопроса: Проблема: ping-flood Решение: 1. не обрабатывать ping'и не по существу: iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP 2. ограничить ping'и "echo-request" (те, что не могут быть не по существу) до разумного предела. iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT Тут можно ещё ограничить размер ping'а. Этими действиями злые ping'и не пройдут через роутер и не будут обрабатываться на самом роутере. Единственная проблема, которая не решается средствами роутера на Линукс - это засорение трафика. Эту проблему можно решить только административно. У меня ещё вопрос: если человек спрашивает о возможных решениях проблемы на Debian, зачем ему советовать OpenBSD при наличии таких решений? -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
