Re: flood protect

To: Matvey Gladkikh <matvey@users.sourceforge.net>
Cc: debian-russian@lists.debian.org
Subject: Re: flood protect
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Mon, 16 Oct 2006 18:42:43 +0300
Message-id: <[🔎] 1161013363.8160.10.camel@localhost.localdomain>
Reply-to: casper@meteor.dp.ua
In-reply-to: <[🔎] 20061016143511.GA27525@gw.int.bully.org.ru>
References: <redirect-1860085@zabiyaka.net.ru> <[🔎] 20061016133221.GA16516@gw.int.bully.org.ru> <redirect-1860124@zabiyaka.net.ru> <[🔎] 20061016143511.GA27525@gw.int.bully.org.ru>

В Пнд, 16/10/2006 в 18:35 +0400, Matvey Gladkikh пишет:
> > Про костыли можно подробнее?
> > 
> > Наверно лучше это:
> > 
> > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
> > 1/s -j ACCEPT
> > 
> > или это:
> > 
> > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
> > -j ACCEPT
> 
> все это приведет к тому что вы урежете горлышко icmp канала до одного обращения в секунду для *всех*
> не думаю что это хорошо. модуль limit разрабатывали для ограничения записей в логи 
> использовать его в ip очереди неуместно.  курите доки или я что то не то говорю? 
> хмм возможно... :)

Ограничте до другого, более разумного для Вас предела, это раз.

Сделайте также вот это:

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

, это два. Кроме административных способов с этим бороться больше никак
нельзя.

-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

References:
- Re: flood protect
  - From: Matvey Gladkikh <matvey@users.sf.net>
- Re: flood protect
  - From: Matvey Gladkikh <matvey@users.sf.net>

Prev by Date: Re: flood protect
Next by Date: Re: mount mmc
Previous by thread: Re: flood protect
Next by thread: Re: flood protect
Index(es):
- Date
- Thread