Естествено, маскрадингът МОЖЕ да се ограничи. TCP/IP пакетите излизат в последователност и имат последователни номера. При условие, че изследваш последователностите, можеш да ограничиш всички без една. OpenBSD имаше някакви пачове срещу това. Не знам дали в Линукс има подобни.
IP пакетите, които са фрагментирани, имат еднаква стойност на Id полето. До Линукс 2.4 това поле се инкрементираше независимо дали има фрагментация или не, ядрата от 2.4 нагоре нулират Id полето, ако пакетите не са фрагментирани (т.е. е вдигнат флага DF = Don't Fragment). Така че за да не ти ограничават маскарада ще трябва да ъпдейтнеш ядрото.
Друг е въпроса, че едно такова ограничаване изисква доста ресурси както и способен админ. Надали това е варианта, защото според мен всички админи в България дето са хем способни хем достатъчно големи фашаги да го направят са в списъка.
Сигурен съм, че има и комерсиални продукти за ограничаване на рекурсията.
-- Sava Chankov, research and development http://www.blueboard.biz
============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
