proforg - Matvey Gladkikh @ Thu, 19 Oct 2006 05:28:05 +0400:
p не говоря уже о том что на больших нагрузках PF сильнее грузит
p процессор чем iptables.
Хрен бы с ним, с процессором. Он место в стойке жрет и порт в свитче.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
On 10/17/06, Matvey Gladkikh [EMAIL PROTECTED] wrote:
MG ууу как все запущено.
MG вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк
и после этого
MG (случае успеха) установить сессию к сервису и сбросить ее в стейт.
А. Это да, это кое от чего лечит. Логично, мог
Ed пишет:
Nikolay Nikolaev wrote:
короче если человек с винды запускает скрипт с одновременным
пингованием сервака (Дебиан сардж) в 200 раз, т.е. 200 одновременно,
то сервак себя очень плохо чувсвтвует , не отвечает я бы сказал на
запросы..
а что за скрипт? я вот пустил на машину, где
В Пнд, 16/10/2006 в 21:23 +0400, Matvey Gladkikh пишет:
On Mon, Oct 16, 2006 at 07:13:16PM +0400, Alexander Vlasov wrote:
Вообще когда советуют инструмент отличный от предполагаемого, стоит
сказать чем именно он лучше в данном случае. Типа a не может сделать b,
а с может сделать b
Матвей
On Tue, Oct 17, 2006 at 10:46:41AM +0400, Покотиленко Костик wrote:
Относительно Вашего изначального вопроса:
Проблема: ping-flood
Решение:
1. не обрабатывать ping'и не по существу:
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
Вы для меня авторитета не представляете, поэтому наслово (конкретнее на
слово bullshit) верить не буду.
Я верю аргументам, которые Вы не озвучили. Они у Вас есть?
В Вто, 17/10/2006 в 11:26 +0400, Matvey Gladkikh пишет:
On Tue, Oct 17, 2006 at 10:46:41AM +0400, Покотиленко Костик wrote:
On Tuesday 17 October 2006 10:40, Nikolay Nikolaev wrote:
в догонку в аттаче небольшой лог tcpdump
не, блин, пацаны! ну серьезно...
ну я понимаю когда лузеры док зарарят, но если дебьяновцы друг-другу...
--
DamirX
Nikolay Nikolaev wrote:
короче если человек с винды запускает скрипт с одновременным
пингованием сервака (Дебиан сардж) в 200 раз, т.е. 200
одновременно, то сервак себя очень плохо чувсвтвует , не отвечает я
бы сказал на запросы..
а что за скрипт? я вот пустил на машину, где это письмо
Ага, тролль.
Всего хорошего.
В Пнд, 16/10/2006 в 21:23 +0400, Matvey Gladkikh пишет:
On Mon, Oct 16, 2006 at 07:13:16PM +0400, Alexander Vlasov wrote:
Вообще когда советуют инструмент отличный от предполагаемого, стоит
сказать чем именно он лучше в данном случае. Типа a не может сделать b,
On Tue, Oct 17, 2006 at 11:26:04AM +0400, Matvey Gladkikh wrote:
[bullshit skipped]
Господа, хватить спамить в рассылку. Разумные аргументы закончились - ставим
точку.
--
Станислав
On Tue, Oct 17, 2006 at 10:41:33AM +0400, Nikolay Nikolaev wrote:
в каком то из сегментов сети то ли свитч то ли кто еще валит очень много
броадкастами, как определить какой это свитч, т.к. винс на это тоже очень
плохо раегирует,
в догонку в аттаче небольшой лог tcpdump
tcpdump ether
Matvey Gladkikh wrote:
On Mon, Oct 16, 2006 at 07:13:16PM +0400, Alexander Vlasov wrote:
Вообще когда советуют инструмент отличный от предполагаемого, стоит
сказать чем именно он лучше в данном случае. Типа a не может сделать b,
а с может сделать b
Матвей Двинятин и Читатель Друзь,
On Tue, Oct 17, 2006 at 10:41:33AM +0400, Nikolay Nikolaev wrote:
в каком то из сегментов сети то ли свитч то ли кто еще валит очень много
броадкастами, как определить какой это свитч, т.к. винс на это тоже очень
плохо раегирует,
в догонку в аттаче небольшой лог tcpdump
tcpdump ether
On Tuesday 17 October 2006 12:22, Ed wrote:
на ВБасике случайно обнаружил как нехорошие люди этим занимаются
...
Private Sub Command1_Click()
For x = 1 To 200
Shell ping + Text1.Text + -l 65500 -t, vbNormalFocus
Next
End Sub
против этого ничего не поможет :(
ну прям-таки ничего
Matvey Gladkikh пишет:
On Tue, Oct 17, 2006 at 10:41:33AM +0400, Nikolay Nikolaev wrote:
в каком то из сегментов сети то ли свитч то ли кто еще валит очень много
броадкастами, как определить какой это свитч, т.к. винс на это тоже очень
плохо раегирует,
в догонку в аттаче небольшой лог
В Вто, 17/10/2006 в 13:25 +0400, DamirX пишет:
ну прям-таки ничего и не помогает ... :))
т.е. всяк сво^Wламер будет нас лагать?
на войне, как на войне:
во первых мы тоже можем тем-же ответить!
во вторых, можно поступить примерно так
netwox 80 -e [вымышленный езернет адрес] -i [айпи
Matvey Gladkikh - Artem Chuprina @ Mon, 16 Oct 2006 23:11:34 +0400:
Ограничте до другого, более разумного для Вас предела, это раз.
MG Утверждение пальцем в небо. Не слушайте таких советов уважаемые
читатели.
Сделайте также вот это:
iptables -A INPUT -m state --state
Matvey Gladkikh - Artem Chuprina @ Mon, 16 Oct 2006 23:25:07 +0400:
По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в
ряд дистрибутивов вкручивают мейнтейнеры. У меня этих задач слишком
MG Господин Артем Барщевский, мы играем в рамках правил :)
MG патчи не
Matvey Gladkikh - Покотиленко Костик @ Tue, 17 Oct 2006 11:26:04 +0400:
У меня ещё вопрос: если человек спрашивает о возможных решениях проблемы
на Debian, зачем ему советовать OpenBSD при наличии таких решений?
MG я советую то что *работает*.
Судя по вышепроцитированному VB-коду, OpenBSD
DamirX - debian-russian@lists.debian.org @ Tue, 17 Oct 2006 13:25:45 +0400:
на ВБасике случайно обнаружил как нехорошие люди этим занимаются
...
Private Sub Command1_Click()
For x = 1 To 200
Shell ping + Text1.Text + -l 65500 -t, vbNormalFocus
Next
End Sub
против этого
On Tue, Oct 17, 2006 at 02:40:25PM +0400, Artem Chuprina wrote:
Matvey Gladkikh - Artem Chuprina @ Mon, 16 Oct 2006 23:25:07 +0400:
По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в
ряд дистрибутивов вкручивают мейнтейнеры. У меня этих задач слишком
MG Господин
On Tue, Oct 17, 2006 at 01:25:28PM +0400, DamirX wrote:
Да мало-ли что мы можем ответить несознательным носорогам! (Особенно в
пределах своего езернета :-)
--
DamirX
красноглазики.
--
Matvey Gladkikh
Я правильно помню, что PF работает в userspace?
нет.
PF(4) OpenBSD Programmer's ManualPF(4)
NAME
pf - packet filter
SYNOPSIS
pseudo-device pf
DESCRIPTION
Packet filtering takes place in the kernel. A pseudo-device, /dev/pf,
allows
MG ууу как все запущено.
MG вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк
и после этого
MG (случае успеха) установить сессию к сервису и сбросить ее в стейт.
А. Это да, это кое от чего лечит. Логично, мог бы и сообразить, что
TCP-то один хрен на уровне
Matvey Gladkikh - Artem Chuprina @ Tue, 17 Oct 2006 19:30:22 +0400:
От проблемы, показанной в рассылке, впрочем, один хрен не лечит. Это к
нижепоскипанному про мотоциклы...
MG данный тред развился из проблемы сравнения а и б
MG ответ на начальную проблему (как мне кажется)
MG прозвучал
Artem Chuprina wrote:
MG tcp syn proxy проверка валидности (досягаемости начального узла /
MG инструмент при проверке на спуф).
Не понял... Насколько я представляю себе устройство современных NAT'ов,
если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
досягаемость узла - это
Ed - debian-russian@lists.debian.org @ Tue, 17 Oct 2006 21:02:51 +0400:
MG tcp syn proxy проверка валидности (досягаемости начального узла /
MG инструмент при проверке на спуф).
Не понял... Насколько я представляю себе устройство современных NAT'ов,
если к тебе прилетел TCP SYN,
Днь добрый.
вероятно это так называется.. (сабж)
короче если человек с винды запускает скрипт с одновременным пингованием
сервака (Дебиан сардж) в 200 раз, т.е. 200 одновременно, то сервак
себя очень плохо чувсвтвует , не отвечает я бы сказал на запросы.. с
этим что то монжо делать, где
On Mon, Oct 16, 2006 at 04:05:54PM +0400, Nikolay Nikolaev wrote:
Днь добрый.
вероятно это так называется.. (сабж)
короче если человек с винды запускает скрипт с одновременным пингованием
сервака (Дебиан сардж) в 200 раз, т.е. 200 одновременно, то сервак
себя очень плохо чувсвтвует , не
В Пнд, 16/10/2006 в 17:32 +0400, Matvey Gladkikh пишет:
On Mon, Oct 16, 2006 at 04:05:54PM +0400, Nikolay Nikolaev wrote:
Днь добрый.
вероятно это так называется.. (сабж)
короче если человек с винды запускает скрипт с одновременным пингованием
сервака (Дебиан сардж) в 200 раз, т.е.
Покотиленко Костик пишет:
В Пнд, 16/10/2006 в 17:32 +0400, Matvey Gladkikh пишет:
On Mon, Oct 16, 2006 at 04:05:54PM +0400, Nikolay Nikolaev wrote:
Днь добрый.
вероятно это так называется.. (сабж)
короче если человек с винды запускает скрипт с одновременным пингованием
сервака (Дебиан
Про костыли можно подробнее?
Наверно лучше это:
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
или это:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
-j ACCEPT
все это приведет к тому что вы урежете горлышко icmp канала
Matvey Gladkikh пишет:
Про костыли можно подробнее?
Наверно лучше это:
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
или это:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
-j ACCEPT
все это приведет к тому что вы урежете
на предмет чего и какие???
я же говорил если сетевая безопасность - то PF.
http://www2.papamike.ca:8082/tutorials/pub/obsd_pf.html
http://www.openbsd.org/cgi-bin/man.cgi?query=pfapropos=0sektion=0manpath=OpenBSD+Currentarch=i386format=html
--
Matvey Gladkikh
--
To UNSUBSCRIBE, email to
Вообще когда советуют инструмент отличный от предполагаемого, стоит
сказать чем именно он лучше в данном случае. Типа a не может сделать b,
а с может сделать b
В Пнд, 16/10/2006 в 18:41 +0400, Matvey Gladkikh пишет:
на предмет чего и какие???
я же говорил если сетевая безопасность - то PF.
В Пнд, 16/10/2006 в 18:35 +0400, Matvey Gladkikh пишет:
Про костыли можно подробнее?
Наверно лучше это:
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
или это:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
-j
On Mon, Oct 16, 2006 at 07:44:22PM +0400, Покотиленко Костик wrote:
Ограничте до другого, более разумного для Вас предела, это раз.
Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели.
Сделайте также вот это:
iptables -A INPUT -m state --state INVALID -j DROP
iptables
On Mon, Oct 16, 2006 at 07:13:16PM +0400, Alexander Vlasov wrote:
Вообще когда советуют инструмент отличный от предполагаемого, стоит
сказать чем именно он лучше в данном случае. Типа a не может сделать b,
а с может сделать b
Матвей Двинятин и Читатель Друзь, против вас играет Александр Власов
Matvey Gladkikh - Покотиленко Костик @ Mon, 16 Oct 2006 21:08:43 +0400:
Ограничте до другого, более разумного для Вас предела, это раз.
MG Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели.
Сделайте также вот это:
iptables -A INPUT -m state --state INVALID -j
Matvey Gladkikh - Alexander Vlasov @ Mon, 16 Oct 2006 21:23:42 +0400:
Вообще когда советуют инструмент отличный от предполагаемого, стоит
сказать чем именно он лучше в данном случае. Типа a не может сделать b,
а с может сделать b
MG Матвей Двинятин и Читатель Друзь, против вас играет
On Mon, Oct 16, 2006 at 09:42:29PM +0400, Artem Chuprina wrote:
Matvey Gladkikh - Покотиленко Костик @ Mon, 16 Oct 2006 21:08:43 +0400:
Ограничте до другого, более разумного для Вас предела, это раз.
MG Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели.
On Mon, Oct 16, 2006 at 09:49:16PM +0400, Artem Chuprina wrote:
По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в
ряд дистрибутивов вкручивают мейнтейнеры. У меня этих задач слишком
Господин Артем Барщевский, мы играем в рамках правил :)
патчи не принимаются. особенно в
Nikolay Nikolaev wrote:
короче если человек с винды запускает скрипт с одновременным
пингованием сервака (Дебиан сардж) в 200 раз, т.е. 200 одновременно,
то сервак себя очень плохо чувсвтвует , не отвечает я бы сказал на
запросы..
а что за скрипт? я вот пустил на машину, где это письмо
я вот встречал свитчи с надписью broadcast storm protect
а как данная технология применяется ли в линуксе в виде чего нить а за
остальное спасибо...
ну это значит что switch имеет возможность ограничивать количество проходящих
через него broadcast пакетов наверное
что то вроде этого?
44 matches
Mail list logo