En effet la fonctionnalité premiere du module conntrack est de gérer l'état
des connexions (ce qui rend Netfilter stateful). Il enregistre les
connexions dans les tables avec un timeout et met à jour les sessions. Ces
tables sont consultées dans la base de règles pour autoriser ou non le
trafic en
On Sun, Sep 09, 2012 at 04:17:58PM +0200,
Mohamed Touré mohamed.to...@secresys.com wrote
a message of 100 lines which said:
Des modules qui pourraient aider à contrer un DoS (qui ne sature pas
forcément le lien upstream vers ISP), sont *ipset, recent*, *iplimit*,
*condition,
geoip*...
2012/9/8 Emmanuel Thierry m...@sekil.fr
Bonjour,
Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit :
Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à
la suite
Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ?
C'est très dépendant de la
On 08/09/2012 01:58, Emmanuel Thierry wrote:
Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit :
Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la suite
Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ?
Hello,
Si tu routes avec Linux et que
Bonjour,
Le 8 sept. 2012 à 11:32, Sylvain Vallerot a écrit :
On 08/09/2012 01:58, Emmanuel Thierry wrote:
Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit :
Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la
suite
Est-ce qu'on a une idée du beaucoup en
On Sat, Sep 8, 2012, at 01:58 AM, Emmanuel Thierry wrote:
Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ?
Meme pas besoin d'une regle. Charger le module conntrack est
generalement assez.
Sans conntrack, quelques centaines de regles posent pas beaucoup de
problemes. Pour
Le 08/09/2012 18:50, Radu-Adrian Feurdean a écrit :
Meme pas besoin d'une regle. Charger le module conntrack est
generalement assez.
Sans conntrack, quelques centaines de regles posent pas beaucoup de
problemes. Pour plus, faut essayer de hierarchiser un peu.
le module conntrack pose plutôt
Ce qu il faut surtout avec conntrack c est augmenter l allocation de memoire
par defaut pour le module
Sent from my iPad
On 8 Sep 2012, at 18:02, Frederic Dhieux frede...@syn.fr wrote:
Le 08/09/2012 18:50, Radu-Adrian Feurdean a écrit :
Meme pas besoin d'une regle. Charger le module
Bonjour,
Le 6 sept. 2012 à 15:06, Frederic Dhieux a écrit :
Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à
la suite
Est-ce qu'on a une idée du beaucoup en question ? 100 ? 1000 ? 1 ?
Cordialement.
---
Liste de diffusion du FRnOG
On Thu, Sep 06, 2012 at 12:37:44PM +0100,
Antoine Durant antoine.duran...@yahoo.fr wrote
a message of 17 lines which said:
J'aimerais connaitre les outils que vous utilisez pour détecter les
attaques DDoS.
L'AFNIC utilise DSC http://dns.measurement-factory.com/tools/dsc/
Sur un routeur
Bonjour,
Pour le null-routing, au niveau du quagga : ip route a.b.c.d/32 null0
mais je privilégierais l'iptables proposé par Stéphane, car il agit
vraisemblablement à un niveau inférieur (je connais mal quagga).
Pour la détection et le blocage de DDOS avec du libre / opensource, je
suivrai le
On Thu, Sep 06, 2012 at 02:51:52PM +0200,
Emmanuel D. dupl...@gmail.com wrote
a message of 40 lines which said:
Pour le null-routing, au niveau du quagga : ip route a.b.c.d/32
null0
Ça ne marche que pour les paquets à *destination* du méchant. Lors
d'une DoS, cela peut ne pas suffire
On 09/06/2012 02:43 PM, Stephane Bortzmeyer wrote:
Sur un routeur linux quagga, comment vous faites pour null-router
une IP qui est méchante
iptables -A INPUT -s mé.ch.an.t -j DROP
Sur un routeur comme demandé c'est plutot -A FORWARD , non ?
Test à faire : mesurer à partir de combien
On Thu, Sep 06, 2012 at 03:11:01PM +0200,
Alain Thivillon a...@rominet.net wrote
a message of 19 lines which said:
iptables -A INPUT -s mé.ch.an.t -j DROP
Sur un routeur comme demandé c'est plutot -A FORWARD , non ?
Oui, tout à fait, je me fais régulièrement avoir, depuis l'époque où
tous
On 09/06/2012 03:06 PM, Frederic Dhieux wrote:
Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à
la suite, je dirais que si c'est vraiment la misère il faut rapidement
envisager de cibler des subnets stratégiques plutôt que des IP dans le
cas d'une attaque par de nombreuses
Bonjour la liste,
Comme le souligne Alain PF gere bien les chargements de table.
Je passe aussi pour donner mon avis et souligner une grande préférence pour
PF sur le sujet.
Ce dernier gère tellement bien les points suivant :
Maximum state entries this rule can create
Maximum number of unique
16 matches
Mail list logo