[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: flood protect

On Mon, Oct 16, 2006 at 09:42:29PM +0400, Artem Chuprina wrote:
> Matvey Gladkikh -> Покотиленко Костик  @ Mon, 16 Oct 2006 21:08:43 +0400:
> 
>  >> Ограничте до другого, более разумного для Вас предела, это раз.
>  MG> Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели.
> 
>  >> Сделайте также вот это:
>  >> 
>  >> iptables -A INPUT -m state --state INVALID -j DROP
>  >> iptables -A FORWARD -m state --state INVALID -j DROP
> 
>  MG> С каких пор icmp стал stateful протоколом?
>  MG> Вашими советами вы путаете читателей рассылки.
> 
> Я тебя сильно огорчу, если скажу, что до некоторых пределов вполне себе
> stateful?  Что в ICMP ответе положено цитировать начало вопроса, и на
> этом основании вполне можно делать некоторые выводы?  И если ESTABLISHED
> для него, может, смысла и не имеет, то уж RELATED (кстати сказать, не
> только по отношению к ICMP, ICMP host unreacheable к совершенно любому
> IP-пакету может быть related) и INVALID для него вполне себе имеют
> смысл.

Абсолютно не огорчите. По схожей логике и udp можно до "некоторых 
пределов" :) считать stateful. Мне интересно зачем эти правила со стейтами 
в данной ситуации советуют. ицмп это протокол начал/кончил? 
Как он соотносится с блокировкой нежелательного 200 в секунду начал?
читаем вопрос поставленный в начале обсуждения...

-- 
Matvey Gladkikh
Reply to: