[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: flood protect

Matvey Gladkikh -> Покотиленко Костик  @ Mon, 16 Oct 2006 21:08:43 +0400:

 >> Ограничте до другого, более разумного для Вас предела, это раз.
 MG> Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели.

 >> Сделайте также вот это:
 >> 
 >> iptables -A INPUT -m state --state INVALID -j DROP
 >> iptables -A FORWARD -m state --state INVALID -j DROP

 MG> С каких пор icmp стал stateful протоколом?
 MG> Вашими советами вы путаете читателей рассылки.

Я тебя сильно огорчу, если скажу, что до некоторых пределов вполне себе
stateful?  Что в ICMP ответе положено цитировать начало вопроса, и на
этом основании вполне можно делать некоторые выводы?  И если ESTABLISHED
для него, может, смысла и не имеет, то уж RELATED (кстати сказать, не
только по отношению к ICMP, ICMP host unreacheable к совершенно любому
IP-пакету может быть related) и INVALID для него вполне себе имеют
смысл.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

В теории нет различия между теорией и практикой.  На практике - есть.
Reply to: