Re: flood protect

To: Matvey Gladkikh <matvey@users.sourceforge.net>
Cc: Alexander Vlasov <zulu@gala.net>, debian-russian@lists.debian.org
Subject: Re: flood protect
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Tue, 17 Oct 2006 09:45:18 +0300
Message-id: <[🔎] 1161067518.4966.19.camel@localhost.localdomain>
Reply-to: casper@meteor.dp.ua
In-reply-to: <[🔎] 20061016172341.GB16777@gw.int.bully.org.ru>
References: <redirect-1860085@zabiyaka.net.ru> <[🔎] 20061016133221.GA16516@gw.int.bully.org.ru> <redirect-1860124@zabiyaka.net.ru> <[🔎] 20061016143511.GA27525@gw.int.bully.org.ru> <redirect-1860145@zabiyaka.net.ru> <[🔎] 20061016144142.GA28753@gw.int.bully.org.ru> <redirect-1860152@zabiyaka.net.ru> <[🔎] 20061016172341.GB16777@gw.int.bully.org.ru>

В Пнд, 16/10/2006 в 21:23 +0400, Matvey Gladkikh пишет:
> On Mon, Oct 16, 2006 at 07:13:16PM +0400, Alexander Vlasov wrote:
> > Вообще когда советуют инструмент отличный от предполагаемого, стоит
> > сказать чем именно он лучше в данном случае. Типа "a не может сделать b,
> > а с может сделать b"
> 
> Матвей Двинятин и Читатель Друзь, против вас играет Александр Власов из ... :)
> А теперь внимание простые до безобразия *вопросы*:
> 
> 1. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе 
> на базе линукс сделать проверку аналогичную synproxy в openbsd PF? (не надо копать в сторону всяких
> там кук)
> 
> 2. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе
> на базе линукс что то делать с каждым  например 2ым udp пакетом?
> 
> 3. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе
> на базе линукс ограничивать количество соединений с *одного* ip. (может уже и появилось 
> спустя два года а я могу и не знать :) )
> 
> линукс фаервол с ip таблицами пригоден разве что для того чтобы форцевать трафиком соседу по подъезду.
> он **абсолютно** непригоден для защиты публичных и маломальски важных сервисов в агрессивной IP среде.

Если продолжить: А как сделать что-то с каждым 3 udp пакетом отосланным
с компьютера черного цвета и по дороге прошедший через 4 роутера, два из
которых белого цвета, а два с пассивной системой охлаждения.

----------------

Если серьёзно, готовых решений под все ситуации не бывает. Есть
стандартные (распрастранённые) ситуации, для которых есть стандартные
решения. Поэтому давайте разговаривать по существу: опишите ситуацию и
обьясните почему её нельзя решить стандартными средствами Линукс.

Относительно Вашего изначального вопроса:

Проблема: ping-flood
Решение:

1. не обрабатывать ping'и не по существу:

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

2. ограничить ping'и "echo-request" (те, что не могут быть не по
существу) до разумного предела.

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
-j ACCEPT

Тут можно ещё ограничить размер ping'а.

Этими действиями злые ping'и не пройдут через роутер и не будут
обрабатываться на самом роутере. Единственная проблема, которая не
решается средствами роутера на Линукс - это засорение трафика. Эту
проблему можно решить только административно.

У меня ещё вопрос: если человек спрашивает о возможных решениях проблемы
на Debian, зачем ему советовать OpenBSD при наличии таких решений?

-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

References:
- Re: flood protect
  - From: Matvey Gladkikh <matvey@users.sf.net>
- Re: flood protect
  - From: Matvey Gladkikh <matvey@users.sf.net>
- Re: flood protect
  - From: Matvey Gladkikh <matvey@users.sf.net>
- Re: flood protect
  - From: Matvey Gladkikh <matvey@users.sf.net>

Prev by Date: Re: flood protect
Next by Date: Можно ли по сети с рабочей машины полностью перелить образ диска на другую?
Previous by thread: Re: flood protect
Next by thread: Re: flood protect
Index(es):
- Date
- Thread