obmedzenie poctu conntrack poloziek pre IP
Peter Surda
surda na shurdix.com
Pondělí Září 12 15:08:03 CEST 2005
On Mon, 12 Sep 2005 14:51:47 +0200 Michal Rybarik <michal.rybarik na ecce.sk>
wrote:
>Potrebujem SW
>riesenie, naskrtol som niekolko moznosti, ku ktorym dufam ze sa vyjadri
>niekto, kto nieco podobne uz riesil.
Ked to tak moc chces, mal by ti pomoct hashlimit aplikovany na state NEW, tym
mozes limitovat frekvenciu novych spojeni z jednotlivych ip. Podla mojich
skusenosti vsak velke mnozstvo spojeni robia aj "dobre" programy a pokial si
nechces narobit viac problemov ako uzitku, nadalej odporucam to riesit silnejsim
routrom (inymi slovami, sam som kedysi podobne metody s neuspechom skusal).
Spravne riesenie je definovat zmysluplnu bezpecnostnu politiku a presadzovat ju
nezavisle od toho, ci problem je technicky osetreny alebo nie. Spomenul som si
na jeden citat: ked system nema definovany vystup, nemoze sa spravat nebezpecne,
moze sa spravat akurat neocakavane.
[joke]Ked chcete silnejsie routre, kupte si ich odo mna ;-).[/joke]
>p
S pozdravom
Peter
--
http://www.shurdix.org - Linux distribution for routers and firewalls
Další informace o konferenci Linux