Limit poctu spojeni

[Michal Rybarik]

Zdravim,

>>V popise k tejto funkcii sa pise, ze je to na ochranu serveru pred DoS 
>>utokmi od klientov, otvorenim obrovskeho poctu spojeni od jedneho 
>>klienta, cim serveru vyzerie zdroje... Napokon to vyplyva aj z tohto 
>>prikladu, kedze sa to filtruje na INPUTe a pre konkretny port (23).. 
>>
>>    
>>
>A nebudete to chtit priste jeste prelozit z anglictiny do cestiny?
>
>  
>
Nechcem vyvolat flamewar, zdrzim sa komentara ;o)

>>Naviac je to ked dobre rozumiem viazane na TCP, ked som hladal docs, 
>>neprisiel som na to ze by sa tym dali filtrovat aj UDP alebo ICMP 
>>spojenia, ktorymi sa ale conntrack routra da vyzrat zachvilu, jednym 
>>dobre mierenym nmap-om... Myslite ze to je dostacujuce?
>>
>>    
>>
>Pokud vyhodite z conntracku udp (coz jde napriklad pres patch a 
>iptables -t raw -A PREROUTING -s 1.2.3.4 -p udp -j NOTRACK)
>Pridete o vsechny vymozenosti conntracku jako zpracovani icmp apod.
>  
>
Pouzitie NOTRACK by sposobolo ze by sa conttrack nevykonaval, tudiz ze 
by tieto spojenia cez NAT nefungovali... Co nie je na sieti velmi 
akceptovatelne...

>Domnivam se, ze limitovani tcp spojeni vyresi vetsinu problemu
>s mnohacetnymi spojenimi. Umyslne utoky spatne mierenym nmap-om
>a viry sirici se pres UDP je treba resit jinak nez softwarove.
>  
>
Napriklad hardwarove? Alebo zmluvnym zakazom? :o) Videl som uz na 
viacerych miestach, ze sa connlimit pouziva na NAT routeri ako ochrana 
pred preplnenim conntracku, ale toto riesenie na to nie je 
dizajnovane... Tak ako je to pisane v dokumentacii, je urcene na ochranu 
TCP servera pred DoS utokom, a preto neriesi ani UDP a ICMP. Pytal som 
sa vas ci vam to staci, a to preto, lebo podla mna to nestaci a preto 
mame na to napisany daemon, ktory sleduje velkost a obsah conntracku a v 
pripade potreby nahadzuje a vyhadzuje pravidla z firewallu. A tym 
obsluzi aj UDP aj ICMP. Ale predsalen, riesit cez to cez userland je 
trochu naokolo, lepsie by tomu bolo priamo v jadre, preto som sa pytal 
na vas nazor.

M.R.