Re: flood protect
On Tue, Oct 17, 2006 at 02:40:25PM +0400, Artem Chuprina wrote:
> Matvey Gladkikh -> Artem Chuprina @ Mon, 16 Oct 2006 23:25:07 +0400:
>
> >> По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в
> >> ряд дистрибутивов вкручивают мейнтейнеры. У меня этих задач слишком
>
> MG> Господин Артем Барщевский, мы играем в рамках правил :)
> MG> патчи не принимаются. особенно в критический момент и с
> MG> "works for me".
>
> А на табличке голосом Куковлева написано: "ТЫ НЕВНИМАТЕЛЕН". Если
> "вкручивают мейнтейнеры", то в дистрибутиве оно уже есть, и пересобирать
> ничего не надо.
дебиан / fedora / rhel как я вижу не вкручивают iplimit. низачот.
# uname -a
Linux rhel 2.4.21-15.EL #1 Thu Apr 22 00:27:41 EDT 2004 i686 i686 i386 GNU/Linux
cat /etc/redhat-release
Red Hat Enterprise Linux AS release 3 (Taroon Update 2)
# modprobe iplimit
modprobe: Can't locate module iplimit
Linux debian 2.6.17-2-vserver-686 #1 SMP Wed Sep 13 18:41:34 UTC 2006 i686 GNU/Linux
~# cat /etc/debian_version
testing/unstable
~# modprobe iplimit
FATAL: Module iplimit not found.
и т.д.
>
> >> задачи не стоит, поэтому читать я читал, но не более того. По п. 1 для
> >> начала нехило бы рассказать, что это за проверка, аналогичную которой
> >> надо делать, почему не надо копать в сторону кук, а главное - что,
> >> собственно, за задача решается - вполне возможно, тут она решается
> >> другим способом.
>
> MG> tcp syn proxy проверка валидности (досягаемости начального узла /
> MG> инструмент при проверке на спуф).
>
> Не понял... Насколько я представляю себе устройство современных NAT'ов,
> если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
> досягаемость узла - это (вообще говоря, неоднократно) отправить обратно
> SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP
> чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем
> отправить SYN+ACK может только тот сервис, который там висит - у
> файрвола этот номер не пройдет.
ууу как все запущено.
вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк и после этого
(случае успеха) установить сессию к сервису и сбросить ее в стейт.
>
> Регулярки - это кто? Регулярные выражения?
угу.
ладно не будем тут глаза таращить.
Я вот из за чего все это начал - я как то 2 года назад изучал этот вопрос ip безопасности в линуксе
"гуглением" и напарывался на вот такие вот рассылки в которых всякие уипаны давали бесполезные
(как выяснилось) советы. Так вот я считаю - если человек не знает досконально как это работает
- пусть молчит и не засе...ет авторитетную рассылку нерабочими рецептами аля "у меня получилось
- попробуйте и вы".
так вот если вы мегаавторитет по мотоциклам не надо пытаться давать советы по велосипедам
даже если знаете что у обоих два колеса и цепная передача.
у меня все.
--
Matvey Gladkikh
Reply to: