Re: flood protect
В Пнд, 16/10/2006 в 21:23 +0400, Matvey Gladkikh пишет:
> On Mon, Oct 16, 2006 at 07:13:16PM +0400, Alexander Vlasov wrote:
> > Вообще когда советуют инструмент отличный от предполагаемого, стоит
> > сказать чем именно он лучше в данном случае. Типа "a не может сделать b,
> > а с может сделать b"
>
> Матвей Двинятин и Читатель Друзь, против вас играет Александр Власов из ... :)
> А теперь внимание простые до безобразия *вопросы*:
>
> 1. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе
> на базе линукс сделать проверку аналогичную synproxy в openbsd PF? (не надо копать в сторону всяких
> там кук)
>
> 2. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе
> на базе линукс что то делать с каждым например 2ым udp пакетом?
>
> 3. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе
> на базе линукс ограничивать количество соединений с *одного* ip. (может уже и появилось
> спустя два года а я могу и не знать :) )
>
> линукс фаервол с ip таблицами пригоден разве что для того чтобы форцевать трафиком соседу по подъезду.
> он **абсолютно** непригоден для защиты публичных и маломальски важных сервисов в агрессивной IP среде.
Если продолжить: А как сделать что-то с каждым 3 udp пакетом отосланным
с компьютера черного цвета и по дороге прошедший через 4 роутера, два из
которых белого цвета, а два с пассивной системой охлаждения.
----------------
Если серьёзно, готовых решений под все ситуации не бывает. Есть
стандартные (распрастранённые) ситуации, для которых есть стандартные
решения. Поэтому давайте разговаривать по существу: опишите ситуацию и
обьясните почему её нельзя решить стандартными средствами Линукс.
Относительно Вашего изначального вопроса:
Проблема: ping-flood
Решение:
1. не обрабатывать ping'и не по существу:
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
2. ограничить ping'и "echo-request" (те, что не могут быть не по
существу) до разумного предела.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
-j ACCEPT
Тут можно ещё ограничить размер ping'а.
Этими действиями злые ping'и не пройдут через роутер и не будут
обрабатываться на самом роутере. Единственная проблема, которая не
решается средствами роутера на Линукс - это засорение трафика. Эту
проблему можно решить только административно.
У меня ещё вопрос: если человек спрашивает о возможных решениях проблемы
на Debian, зачем ему советовать OpenBSD при наличии таких решений?
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: