[Sysadmins] Fw: Re: SYN_RECV флуд и защита от него

[MisHel64]

Здравствуйте, Виктор.

Вы писали 30 октября 2009 г., 23:19:41:

>> Проще  всего банально влепить лимит для син пакетов. У тебя и стронг и
>> веб сервер сеть?
> можно более конкретный вид комманды в iptables для этого, если не трудно.

iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP

И попробуй по пинговать свою машину.

> Если речь идёт о connlimit то не прокатывает, на практике
> ограничение ним даже до двух всего лиш приглушает атаку, но не устраняет...

Странно это. Можно увидеть Ваши правила?

>> Ну  не  нужно так сложно.  Сам иптаблс создаст такой список, и сам его
>> будет  чистить.   Почитай про модуль рецент. 
> спасибо, сейчас читаю, но почиму то не вижу в нем прямой
> зависимости в решении моей проблемы...

С  помощью  рецент  ты  можешь  узнать  сколько  пакетов  с  заданными
условиями прошло через твое правило за последнее время. И если слишком
много,  то прибивать, или занести в бан линст. Бан нлист сделать то же
с помощью этого модуля.

-- 
С уважением,
 MisHel64                          mailto:MisHel64 на Bk.Ru