Dne 17.12.2009 20:02, Jindra Fucik napsal(a):
1) pokud zadate pocet pokusu 1, tak to znamena ze se nikdy neblokuje, protoze pri prvnim pruchodu se zjisti, ze neexistuje zadnej prvek s timto klicem a vytvori se a da se mu hodnota 1 - pri dalsim pokusu se pricte jednicka, ale kontrola na zablokovani je "pocet = maximum_z_configu", takze to neplati, protoze maximum je 1, ale pocet uz je dva - jednoduse staci nepouzivat maximum = 1, stejne to neni logicke
...
hodinu je blokaze ukoncena a utocnik se muze zacit pokouset znovu, jenze pak nastane situace z predchoziho pripadu - pocet > maximum a tim padem se neblokuje ale napise se hlaska do logu. Dalo by se rict, ze staci obcas restartovat bruteblock, aby si uvolnil tuhle tabulku, ale to taky neni spravne, protoze tim padem prijde o informace o "pomalejch" utocnicich. Takze jsem udelal patch, kterej rika, ze v pripade ze pocet>maximum, tak se mimo jine nastavuje pocet =1 (predpokladam, ze je to nove kolo a muzeme zacit pocitat od jednicky)
Pokud jsem ja spravne pochopil (bruteblock pouzivam), tak se zablokovani deje pridanim zaznamu do tabulky IPFW (PF) s informaci, jak dlouho ma blokace trvat. Tento zaznam pak vyhazuje daemon bruteblockd. Ja bych pak za nejlogictejsi povazoval takove chovani, kdy se pri zablokovani adresy proste zaznam z pole proste vymaze. Adresa je zablokovana, nemusime se o ni vubec starat. Az ji brutebockd odblokuje, a prijde z ni nejaky dalsi pokus o utok, zacneme s ni pracovat, jako s uplne novou adresou.
...ja byl dodnes presvedceny o tom, ze se to ale takto chova. Zdrojaky jsem necetl.
Zbynek -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
