=?iso-8859-1?q?=5Bmdk-re=5D_Re=3A_=5Bmdk-re=5D_Re=3A_=5Bmdk-re=5D_=E2=C5?= =?iso-8859-1?q?=DA=CF=D0=C1=D3=CE=CF=D3=D4=D8?=

[Roman S]

Цитирую "Dmitry V. Levin" <ldv на fandra.org>:
> На самом деле принято делать так:
> # Enables source route verification
> net.ipv4.conf.default.rp_filter = 1
> net.ipv4.conf.all.rp_filter = 1
Спасибо. Так действительно лучше и красивее.
Вот что бывает, когда знаешь, чего надо, но не знаешь, 
как именно.
> Если Вы используете REJECT - рано или поздно 
получите DoS.

Не думаю. Я сижу за маскарадом, пропускная способность 
сети заведомо шире калитки в интернет, к тому же 
физиономии всех, кто может устроить безобразие внутри 
сети находятся во вполне оффлайновой досягаемости (не 
более 15 минут за рулём).
Вероятность DDoS стремится к нулю, к тому же это не 
сервер.
Устраивать же DENY для лиц, случайно ткнувшихся в мой 
станок немножко неприлично...

Идеальным мне представлялся бы вариант, если бы висел 
какой-либо монитор и при превышении кол-ва попыток 
отсыла REJECT, динамически переводил бы правило в DENY.

Кстати, нет ничего такого? Я с ходу что-то не нашел, а 
сомому делать особо некогда.

Rgds!
Roman Savelyev