Em 17/11/2010, às 11:18, Antonio Modesto escreveu: > Pessoal, > > Segunda feira (15/11), tive um problema com um servidor proxy > (FreeBSD8.1-STABLE x64), uma interface de rede dele simplesmente travou, > se eu tentasse pingar algum host que estava na mesma classe de ip que > essa placa estava configurada, ele retornava "host is down". Na hora não > tive muito tempo pra ficar analizando, pois estava afentado muitos > clientes, mas pude ver que o kernel estava retornando algumas mensagens > referentes ao ipfw, algo do tipo "numero maximo de regras dinamicas > atingido", eu reiniciei a máquina, e troquei a configuração para outra > placa de rede reserva (embora a outra tenha voltado à funcionar depois > do reboot). > Notei que existe uma variável que limita o máximo de regras dinamicas do > IPFW, mas, tenho acompanhado desde desse travamento, e a média de regras > dinamicas é muito inferior à quantidade máxima. Teria possibilidade de, > ter acontecido algo anormal, esse limite ter sido atingido e a interface > ter travado?
Sem dúvidas, um DoS, talvez autentico. Mas o que leva um proxy a ter regras stateful? Tente refazer tudo em stateless. Qualquer ambiente stateful tem que ser monitorado pois é sempre uma "segurança calcanhar-de-aquiles", visto que artificialmente é fácil estourar quase qualquer tamanho de tabelas de state, gerando DoS, especialmente em ambientes com regras menos elaboradas. > > Obrigado. > > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [email protected] http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
