Re: flood protect
Matvey Gladkikh -> Artem Chuprina @ Mon, 16 Oct 2006 23:11:34 +0400:
>> >> Ограничте до другого, более разумного для Вас предела, это раз.
>> MG> Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели.
>>
>> >> Сделайте также вот это:
>> >>
>> >> iptables -A INPUT -m state --state INVALID -j DROP
>> >> iptables -A FORWARD -m state --state INVALID -j DROP
>>
>> MG> С каких пор icmp стал stateful протоколом?
>> MG> Вашими советами вы путаете читателей рассылки.
>>
>> Я тебя сильно огорчу, если скажу, что до некоторых пределов вполне себе
>> stateful? Что в ICMP ответе положено цитировать начало вопроса, и на
>> этом основании вполне можно делать некоторые выводы? И если ESTABLISHED
>> для него, может, смысла и не имеет, то уж RELATED (кстати сказать, не
>> только по отношению к ICMP, ICMP host unreacheable к совершенно любому
>> IP-пакету может быть related) и INVALID для него вполне себе имеют
>> смысл.
MG> Абсолютно не огорчите. По схожей логике и udp можно до "некоторых
MG> пределов" :) считать stateful. Мне интересно зачем эти правила со
MG> стейтами в данной ситуации советуют. ицмп это протокол
MG> начал/кончил? Как он соотносится с блокировкой нежелательного 200
MG> в секунду начал? читаем вопрос поставленный в начале обсуждения...
Я сильно подозреваю, что заявление про 200 пингующих процессов - оно
предположение. Там может быть какой-нибудь добрый аналог nmap, который
часто кидается именно invalid пакетами. Для маскировки и прохождения
ряда коммерческих файрволов. Так что "до кучи" (а советуют именно "до
кучи") может оказаться и небессмысленным правилом. Хотя, конечно,
спорный вопрос - время на его отработку тоже требуется.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Любой инструмент, используемый не по назначению, имеет свойство
превращаться в грабли.
Andrey Sverdlichenko
Reply to: