On 10/17/06, Matvey Gladkikh <[EMAIL PROTECTED]> wrote:
> MG> ууу как все запущено.
> MG> вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк
и после этого
> MG> (случае успеха) установить сессию к сервису и сбросить ее в стейт.
>
> А. Это да, это кое от чего лечит. Логично, мог бы и сообразить, что
> TCP-то один хрен на уровне ядра реализуется, процесс из accept()
> получает уже готовое соединение.
P.S. не обязательно процесс на той же машине что и PF.
основной смысл прикрывать всякие лакомые линуксовые сервисы за nat
надеюсь со временем и на уровне бриджа будет работать.
> От проблемы, показанной в рассылке, впрочем, один хрен не лечит. Это к
> нижепоскипанному про мотоциклы...
данный тред развился из проблемы сравнения а и б
ответ на начальную проблему (как мне кажется)
прозвучал в самом начале (iplimit)
:) в любом случае разговор получился занятный.
use PF.
ну вот не уверен что pf тут так уж поможет -
в таких случаях есть одно простое правило - для выживания в случае
ддоса нужно иметь ресурсов не меньше чем у "атакующщей" стороны.
более того - это действительно должно решаться на транзитных
маршрутизаторах, не серверное это дело, чего уж там.
не говоря уже о том что на больших нагрузках PF сильнее грузит
процессор чем iptables.
--
Alexej Bestchiokov
EMail/JID: [EMAIL PROTECTED]
phone: +7 495 7853149
