man PF :)
> Непонятно, на чем synproxy съест процессор. В память я б еще
> поверил... И то вроде бы ровно те же расходы. Может быть, у прокси
> даже меньше - ему только случайное начальное число генерировать, а
> синкукам еще и куку.
>
> Единственное - опять перестал понимать, каким образом он при этом
> защищает другую машину. За SYN+ACK же при этом надо к ней сходить?
> Ограничить скорость и бэклог у себя держать? А есть уверенность, что
> бэклог у него лучше, чем у той другой машины?
man PF :)
SYN PROXY
By default, pf(4) passes packets that are part of a tcp(4) handshake be-
tween the endpoints. The synproxy state option can be used to cause
pf(4) itself to complete the handshake with the active endpoint, perform
a handshake with the passive endpoint, and then forward packets between
the endpoints.
No packets are sent to the passive endpoint before the active endpoint
has completed the handshake, hence so-called SYN floods with spoofed
source addresses will not reach the passive endpoint, as the sender can't
complete the handshake.
The proxy is transparent to both endpoints, they each see a single con-
nection from/to the other endpoint. pf(4) chooses random initial se-
quence numbers for both handshakes. Once the handshakes are completed,
the sequence number modulators (see previous section) are used to trans-
late further packets of the connection. Hence, synproxy state includes
modulate state and keep state.
буга га IP таблицам вместе с синкуками пора на заслуженную помойку.
Use PF!
--
Matvey Gladkikh
Reply to: