forum.opennet.ru

"Новый пакетный фильтр для борьбы с флудом на уровне Linux ядра"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Новый пакетный фильтр для борьбы с флудом на уровне Linux яд..."	+/–
Сообщение от vitek (??), 12-Янв-09, 13:58
конечно девайс я такой вряд ли найду, но могу предположить (из всего того, что Вы описали) в чем проблема. скорее всего это связано с неправильной настройкой фрагментацией пакетов и mtu/mru (стандартное значение которых как правило 1500). особенно если Вы ещё и соединяетесь с провайдером через (PPPoA/PPPoE/PPTP) т.е. думаю, что здесь ключевые слова mtu+mru+mss+fragmentation. типа так: https://www.opennet.ru/cgi-bin/opennet/ks.cgi?mask=trouble+mt... вот примеры помощи (значения mss ставьте свои. ну и man iptables по этим параметрам): $iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1350 $iptables -A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1301:65535 -j TCPMSS --set-mss 1300 $iptables -A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1301:65535 -j TCPMSS --set-mss 1300 или же (и что возможно более правильно): $iptables -t mangle -o "$PPP_IFACE" --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Новый пакетный фильтр для борьбы с флудом на уровне Linux ядра, opennews, 11-Янв-09, 18:49 [смотреть все]

Зачем сокращение такое FF - это Firefox , Аноним, 11-Янв-09, 18:49 (1) //
- Firefox - Fxдавно уже , Аноним, 11-Янв-09, 21:06 (12)
- Да http www acronymfinder com FF html, Andrey Mitrofanov, 12-Янв-09, 09:39 (36)
мне одному показалось что текст обрывается на полу-слове , Painbringer, 11-Янв-09, 18:55 (2)
Попытка содрать связку pf spamd http www onlamp com pub a bsd 2007 01 18 grey, _umka_, 11-Янв-09, 19:08 (3) //
- ага а ещё и добавить , vitek, 11-Янв-09, 19:24 (5)
- и как поведет себя spamd при 3-4 тыс коннектов к нему , Добрый Дохтур, 11-Янв-09, 19:34 (8) //
  - Не поверите - нормально На работе стоит на машине дуал п3-800 с 512 мегами памя, yason, 11-Янв-09, 23:49 (22) //
    - 10-15 тыс писем в какую единицу времени то в одной маленькой конторе, где я когд, Добрый Дохтур, 12-Янв-09, 07:18 (30)
      - а процент полезной информации , none, 12-Янв-09, 10:07 (37)
      - За час-два Когда как Вот цифири Информация получена скриптиком с calomel org , yason, 12-Янв-09, 14:17 (43)
Ну наконец-то А то маршрутизатор D-Link с Linux ом пропускает в первую очередь I, iZEN, 11-Янв-09, 19:20 (4) //
- а можно подробней не флуда ради, а образования для , vitek, 11-Янв-09, 19:26 (7) //
  - Действительно замечал такое, думал что кажется, ан нет, я не один такой ЗЫ Поме, Solo_vrn, 11-Янв-09, 19:39 (9) //
    - D-Link я конечно вообще за аппаратуру не считаю, но должно же быть объективное, vitek, 11-Янв-09, 19:45 (10)
      - Запустил параллельно обновление Linux Mint 5 1 - 6 обновление портов FreeBSD, iZEN, 11-Янв-09, 21:33 (17)
        
        вот это не надо у меня например специально настроено на приоритет винды даже, vitek, 11-Янв-09, 22:41 (18)
        
        D-Link DSL-504TВряд ли Это старенький домашний роутер ADSL провайдерский 128 k, iZEN, 11-Янв-09, 22:55 (19)
        
        вообще adsl вещь интересная в том плане, что кто первый, тот и папа приходилось , vitek, 11-Янв-09, 23:13 (20)
        
        Вообще, ситуация такая Linux Mint изо-всех сил ломится скачивать бинарные обнов, iZEN, 12-Янв-09, 00:15 (25)
        
        кстати, а как в pf точнее altq справедливо распределить полосу между нескольким, Добрый Дохтур, 12-Янв-09, 07:20 (31)
        
        Гы В usr share examples pf примерчики глянуть можно , CrazyF, 12-Янв-09, 08:36 (33)
        
        да ну вот есть канал в 10мбит, сеть на 23 Как равномерно распределить полосу, , Добрый Дохтур, 12-Янв-09, 16:13 (46)
        
        Давеча качал фаерфокс под вистой Убиться можно - тормозит адски Скачка заняла по, Ouch, 11-Янв-09, 23:50 (23)
        
        Несколько месяцев назад такая же ситуация была и у меня, но только под WindowsXP, iZEN, 12-Янв-09, 00:23 (27)
        
        Много лет пользую D-Link 504T Правда вот с прошивкой от McMcc родная прошивка , User294, 12-Янв-09, 13:25 (40)
        конечно девайс я такой вряд ли найду, но могу предположить из всего того, что В , vitek, 12-Янв-09, 13:58 (42)
        
        а, да ещё многие забывают, что mss можно поставить не только через фаервол ipt, vitek, 12-Янв-09, 14:56 (45)
      - os fingerprint Я могу, при желании, на Опене настроить pf на неполучение пакето, yason, 11-Янв-09, 23:52 (24)
        
        Подскажите навскидку, возможно ли и каким правилом можно отправить через PF pas, iZEN, 12-Янв-09, 00:29 (28)
        
        man pf confпоиск по fingerprint дает примеры правил для подобной фильтрации Exam, yason, 12-Янв-09, 13:37 (41)
        
        Да, спасибо Сумел сделать отсылку фингерпринта Linux , Windows Cisco и их, iZEN, 13-Янв-09, 01:37 (50)
        
        это полная чушь приведите хоть один пример паразитного трафика от линуха tcpd, vitek, 13-Янв-09, 02:21 (51)
        
        Кто кого победил 8212 тот ещё вопрос Когда машины с альтернативными операци, iZEN, 13-Янв-09, 03:43 (52)
        
        gt оверквотинг удален linux убил локалку -- бред, pavel_simple, 13-Янв-09, 04:24 (53)
        
        о чем и речь и на вопрос приведите пример этого паразитного трафика получаю во, vitek, 13-Янв-09, 08:03 (54)
        Не бред Сегодня снёс к чертям собачьим Linux Mint и на ту же машину установил P, iZEN, 13-Янв-09, 22:34 (56)
        у Вас на adsl стоит линух или для Вас это был секрет и то что я писал пр, vitek, 14-Янв-09, 01:55 (57)
        Не к роутеру, как к таковому в локалке он работает фактически как свитч , а к L, iZEN, 14-Янв-09, 02:44 (58)
        
        passive os fingerprinting можно и в freebsd делать, и в linux, а не только в ope, Добрый Дохтур, 12-Янв-09, 07:22 (32)
- DSCP настраивали , gentoouser, 12-Янв-09, 14:26 (44)
Нет, Умка Связка pf spamd вполне заменима связкой ipt spamd Которая, кстати гов, Хелагар, 11-Янв-09, 19:25 (6) //
- Так, для общего развития Вообще-то pf во Фряхе работает не используя подсистему, xxx, 11-Янв-09, 20:28 (11) //
  - хм а ведь там по-русски написано но ведь Вам и не важно, не так ли , vitek, 11-Янв-09, 21:09 (13) //
    - Важно, на родном языке читать приятней , xxx, 12-Янв-09, 00:20 (26)
Jeffrey Merkey случаем не в Intel работает , pavlinux, 11-Янв-09, 21:29 (16) //
- Для pavlinux По последним развед данным http www wolfmountaingroup com , srgaz, 12-Янв-09, 08:45 (35) //
  - G Jeffrey Merkey http en wikipedia org wiki Jeff_V _Merkey, Andrey Mitrofanov, 12-Янв-09, 10:41 (38) //
    - Так там написано, что товарищ - порядочный мудак On October 4, 2004, Merkey off, Аноним, 12-Янв-09, 11:51 (39)
Так это можно будет использовать параллельно с netfilter iptables, iproute2, ip, Аноним, 12-Янв-09, 03:49 (29) //
- Можно, тольк ещё сетевуху Intel Gigabit надо купить, где будешь юзать , pavlinux, 12-Янв-09, 20:07 (49) //
  - Уже прикупил, около ста штук e1000 Все серваки на них Весь мир нах зафаерволлю, Аноним, 13-Янв-09, 08:12 (55)
Jeffrey Merke --- красавчег Давно следил за FF, и вот свершилось , srgaz, 12-Янв-09, 08:38 (34) //
- Захэшировал базу rbl на диске, и фильтровать эти адреса Еще один велосипед , Анонимус, 12-Янв-09, 17:31 (47) //
  - если он это будет делать быстро а есть подозрения, что так , тогда это очень бы, vitek, 12-Янв-09, 19:39 (48)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру