Re: flood protect
On Mon, Oct 16, 2006 at 09:42:29PM +0400, Artem Chuprina wrote:
> Matvey Gladkikh -> Покотиленко Костик @ Mon, 16 Oct 2006 21:08:43 +0400:
>
> >> Ограничте до другого, более разумного для Вас предела, это раз.
> MG> Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели.
>
> >> Сделайте также вот это:
> >>
> >> iptables -A INPUT -m state --state INVALID -j DROP
> >> iptables -A FORWARD -m state --state INVALID -j DROP
>
> MG> С каких пор icmp стал stateful протоколом?
> MG> Вашими советами вы путаете читателей рассылки.
>
> Я тебя сильно огорчу, если скажу, что до некоторых пределов вполне себе
> stateful? Что в ICMP ответе положено цитировать начало вопроса, и на
> этом основании вполне можно делать некоторые выводы? И если ESTABLISHED
> для него, может, смысла и не имеет, то уж RELATED (кстати сказать, не
> только по отношению к ICMP, ICMP host unreacheable к совершенно любому
> IP-пакету может быть related) и INVALID для него вполне себе имеют
> смысл.
Абсолютно не огорчите. По схожей логике и udp можно до "некоторых
пределов" :) считать stateful. Мне интересно зачем эти правила со стейтами
в данной ситуации советуют. ицмп это протокол начал/кончил?
Как он соотносится с блокировкой нежелательного 200 в секунду начал?
читаем вопрос поставленный в начале обсуждения...
--
Matvey Gladkikh
Reply to: