Re: flood protect
В Пнд, 16/10/2006 в 18:35 +0400, Matvey Gladkikh пишет:
> > Про костыли можно подробнее?
> >
> > Наверно лучше это:
> >
> > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
> > 1/s -j ACCEPT
> >
> > или это:
> >
> > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
> > -j ACCEPT
>
> все это приведет к тому что вы урежете горлышко icmp канала до одного обращения в секунду для *всех*
> не думаю что это хорошо. модуль limit разрабатывали для ограничения записей в логи
> использовать его в ip очереди неуместно. курите доки или я что то не то говорю?
> хмм возможно... :)
Ограничте до другого, более разумного для Вас предела, это раз.
Сделайте также вот это:
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
, это два. Кроме административных способов с этим бороться больше никак
нельзя.
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: