IPTABLES
Jirka Kosina
jikos na jikos.cz
Čtvrtek Říjen 30 13:41:44 CET 2003
On Thu, 30 Oct 2003 volesak na aristia.cz wrote:
> > Ono tech kontrovzerznich veci v tom serialu na rootu bylo ponekud vic
> > - osobne se domnivam, ze skutecne nema cenu provadet :jakoukoliv
> > filtraci v chainu OUTPUT (mezi dalsi kontroverzni vec v tomto clanku
> > bych bez vahani zaradil omezovani poctu :prijatych SYN packetu za
> > vterinu pomoci --limit). :Pravdepobone toto pravidlo ma znemoznit aby
> > nekdo odesilal zevnitr site packety z falsovanou zdrojovou IP adresou.
> Omezeni prijatych SYN paketu je podle mne dost dulezite v okemziku, kdy na
> vas nekdo hodla provadet SYN flooding, scan ci DoS, ne? Pro falesne IP je
To je ovsem ponekud nestastne reseni - protoze urcit hranici kdy to jeste
neni DoS a kdy uz je, je magie a v dusledku to typicky dopadne tak, ze se
zacnou v urcitou chvili (v okamziku nejake "spicky", kdy budou prichazet
legitmni pozadavky, ale bude jich kratkodobe hodne) zahazovat legitimni
SYN packety, ktere budou chtit zahajit spojeni ... a dojde vpodstate k
jakemusi "inverznimu" DoSu - server bude fungovat vporadku, ale bude
zahazovat packety od klientu, takze pro ne to bude vypadat jako ze je
sluzba nedostupna.
Jedinym rozumnym resenim tohoto problemu se mi v soucasne dobe zdaji byt
syncookies, ale v zadnem pripade omezovani poctu SYN packetu za jednotku
casu.
--
JiKos.
Další informace o konferenci Linux