[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: flood protect

On Tue, Oct 17, 2006 at 02:40:25PM +0400, Artem Chuprina wrote:
> Matvey Gladkikh -> Artem Chuprina  @ Mon, 16 Oct 2006 23:25:07 +0400:
> 
>  >> По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в
>  >> ряд дистрибутивов вкручивают мейнтейнеры.  У меня этих задач слишком
> 
>  MG> Господин Артем Барщевский, мы играем в рамках правил :)
>  MG> патчи не принимаются. особенно в критический момент и с
>  MG>  "works for me".
> 
> А на табличке голосом Куковлева написано: "ТЫ НЕВНИМАТЕЛЕН".  Если
> "вкручивают мейнтейнеры", то в дистрибутиве оно уже есть, и пересобирать
> ничего не надо.

дебиан / fedora / rhel  как я вижу не вкручивают iplimit. низачот.

# uname -a
Linux rhel 2.4.21-15.EL #1 Thu Apr 22 00:27:41 EDT 2004 i686 i686 i386 GNU/Linux
cat /etc/redhat-release
Red Hat Enterprise Linux AS release 3 (Taroon Update 2)
# modprobe iplimit
modprobe: Can't locate module iplimit

Linux debian 2.6.17-2-vserver-686 #1 SMP Wed Sep 13 18:41:34 UTC 2006 i686 GNU/Linux
~# cat /etc/debian_version
testing/unstable
~# modprobe iplimit
FATAL: Module iplimit not found.

и т.д.

> 
>  >> задачи не стоит, поэтому читать я читал, но не более того.  По п. 1 для
>  >> начала нехило бы рассказать, что это за проверка, аналогичную которой
>  >> надо делать, почему не надо копать в сторону кук, а главное - что,
>  >> собственно, за задача решается - вполне возможно, тут она решается
>  >> другим способом.
> 
>  MG> tcp syn proxy проверка валидности (досягаемости начального узла /
>  MG> инструмент при проверке на спуф).
> 
> Не понял...  Насколько я представляю себе устройство современных NAT'ов,
> если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
> досягаемость узла - это (вообще говоря, неоднократно) отправить обратно
> SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP
> чего-нибудь-unreacheable, TCP RST или вообще проигнорируют.  Причем
> отправить SYN+ACK может только тот сервис, который там висит - у
> файрвола этот номер не пройдет.

ууу как все запущено.
вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк и после этого 
(случае успеха) установить сессию к сервису и сбросить ее в стейт. 

> 
> Регулярки - это кто?  Регулярные выражения?

угу.

ладно не будем тут глаза таращить.

Я вот из за чего все это начал - я как то 2 года назад изучал этот вопрос ip безопасности в линуксе
"гуглением" и напарывался на вот такие вот рассылки в которых всякие уипаны давали бесполезные 
(как выяснилось) советы. Так вот я считаю - если человек не знает досконально как это работает 
- пусть молчит и не засе...ет авторитетную рассылку нерабочими рецептами аля "у меня получилось 
- попробуйте и вы".

так вот если вы мегаавторитет по мотоциклам не надо пытаться давать советы по велосипедам
даже если знаете что у обоих два колеса и цепная передача.

у меня все. 

-- 
Matvey Gladkikh
Reply to: