Vlw Patrick, Esse servidor roda DNS também, e só tem regras dinamicas para pacotes UDP, são bem poucas mesmo, vou reescrever aqui para stateles, vlw.
On Wed, 2010-11-17 at 11:23 -0200, Patrick Tracanelli wrote: > Em 17/11/2010, às 11:18, Antonio Modesto escreveu: > > > Pessoal, > > > > Segunda feira (15/11), tive um problema com um servidor proxy > > (FreeBSD8.1-STABLE x64), uma interface de rede dele simplesmente travou, > > se eu tentasse pingar algum host que estava na mesma classe de ip que > > essa placa estava configurada, ele retornava "host is down". Na hora não > > tive muito tempo pra ficar analizando, pois estava afentado muitos > > clientes, mas pude ver que o kernel estava retornando algumas mensagens > > referentes ao ipfw, algo do tipo "numero maximo de regras dinamicas > > atingido", eu reiniciei a máquina, e troquei a configuração para outra > > placa de rede reserva (embora a outra tenha voltado à funcionar depois > > do reboot). > > Notei que existe uma variável que limita o máximo de regras dinamicas do > > IPFW, mas, tenho acompanhado desde desse travamento, e a média de regras > > dinamicas é muito inferior à quantidade máxima. Teria possibilidade de, > > ter acontecido algo anormal, esse limite ter sido atingido e a interface > > ter travado? > > Sem dúvidas, um DoS, talvez autentico. > > Mas o que leva um proxy a ter regras stateful? Tente refazer tudo em > stateless. > > Qualquer ambiente stateful tem que ser monitorado pois é sempre uma > "segurança calcanhar-de-aquiles", visto que artificialmente é fácil estourar > quase qualquer tamanho de tabelas de state, gerando DoS, especialmente em > ambientes com regras menos elaboradas. > > > > > Obrigado. > > > > > > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > [email protected] > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Antonio Modesto Gerente de TI Praça Getúlio Vargas, 77 – Sala 308 – Centro Santo Antônio do Monte – MG – CEP: 35560-000 (37) 3281-2800 [email protected]http://www.isimples.com.br Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter informações confidenciais e/ou privilegiadas. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, por favor, não leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada nessas informações. Notifique o remetente imediatamente por e-mail e apague a mensagem permanentemente. Atenção: embora a Isimples Telecom, tome seus cuidados para garantir a ausência de vírus neste e-mail, a empresa não se responsabiliza por quaisquer perdas ou danos decorrentes do uso da mensagem e seus anexos. A segurança e ausência de erros na transmissão do e-mail não podem ser garantidas, já que as informações podem ser interceptadas, corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou, ainda, conter vírus. Recomendamos checar se o e-mail e seus anexos contém vírus, uma vez que nem a Isimples Telecom ou o remetente se responsabilizam pela transmissão destes. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
