Re: sysctl net.inet.icmp.icmplim

Sun, 19 Apr 2015 03:51:35 -0700 

On 04/19/15 11:57, Zbyněk Burget:

+Limiting icmp unreach response from 252 to 200 packets/sec
+Limiting icmp ping response from 211 to 200 packets/sec
+Limiting closed port RST response from 301 to 200 packets/sec



Chtěl jsem se zeptat, jestli to máte někdo přenastaveno jinak, než je
defalult 200 - mě totiž přijde 200/sec relativně už dost vysoká


Obvykle ne, ale je potreba uvazit k cemu to vlastne pouzivas.


Jde ti spis o to limitovani, tedy o zatizeni site a 
ja-nevim-ceho-jeste-dalsiho ? Pak to zrejme nechas nizko, klidne na tom 
defaultu nebo jeste niz.



Nebo jde spis o tu hlasku na konzoli a tedy pozorneni, ze se deje "neco 
neobvykleho" ? Pak to, zrejme, budes nastavovat spis tak, aby to za 
bezneho provozu zadny hlasky nepsalo a to muze znamenat. ze nekde/nekdy 
to dost mozna budes mit nastavene (i o dost) vys.




Když jsem ale limit snížil v rámci testování
opravdu nízko, zjistil jsem, že unreach a RST packetů se odesílá trvale
řádově desítky za sekundu. To mě celkem překvapilo.



Jestli je to verejne dostupny stroj, tak na tom neni az dak dalece nic k 
prekvapeni. Scany adresniho prostoru jsou dneska naprosto beznou 
soucasti kose prichazejicih paketu.



Zalezi samozrejme na okolnostech (kolik adres ten stroj ma) a i v case 
ty pocty vykazuji pomerne znacke kratkodobe i dlouhodobe vykyvy.



Musel byses bliz podivat na to co ty ICMP/RST vyvolava abysis moh' 
udelat nejakej nazor na aktualni pricinu.



Předpokládal jsem,  že ta sysctl má vliv jen na packety, které generuje kernel


Pokud vim, tak ano.


'closed RST response' nastava jedine v ramci tcp_input, tedy v reakci na 
prichozi TCP komunikaci zpracovavanou kernelem


'icmp unreach/ping response' je totez, ale pro UDP respektive ICMP ECHO


Takhle to ale na mě dělá dojem, že to limituje i packety, které skrz router 
prochází z
vnitřní sítě.


Nenaznacil's co tvuj dojem vyvolava, takze tezko ti to rozmlouvat ;-)


A druhák - ten limit je globální (tedy neodešle celkově víc packetů, než  je 
limit) nebo se jedná o limit per IP?


Ano.

Dan

P.S.: ten limit je globalni




--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l






















					Odpovedet emailem