Limit poctu spojeni
Michal Rybarik
michal.rybarik na ecce.sk
Středa Březen 14 17:01:45 CET 2007
Zdravim,
>>V popise k tejto funkcii sa pise, ze je to na ochranu serveru pred DoS
>>utokmi od klientov, otvorenim obrovskeho poctu spojeni od jedneho
>>klienta, cim serveru vyzerie zdroje... Napokon to vyplyva aj z tohto
>>prikladu, kedze sa to filtruje na INPUTe a pre konkretny port (23)..
>>
>>
>>
>A nebudete to chtit priste jeste prelozit z anglictiny do cestiny?
>
>
>
Nechcem vyvolat flamewar, zdrzim sa komentara ;o)
>>Naviac je to ked dobre rozumiem viazane na TCP, ked som hladal docs,
>>neprisiel som na to ze by sa tym dali filtrovat aj UDP alebo ICMP
>>spojenia, ktorymi sa ale conntrack routra da vyzrat zachvilu, jednym
>>dobre mierenym nmap-om... Myslite ze to je dostacujuce?
>>
>>
>>
>Pokud vyhodite z conntracku udp (coz jde napriklad pres patch a
>iptables -t raw -A PREROUTING -s 1.2.3.4 -p udp -j NOTRACK)
>Pridete o vsechny vymozenosti conntracku jako zpracovani icmp apod.
>
>
Pouzitie NOTRACK by sposobolo ze by sa conttrack nevykonaval, tudiz ze
by tieto spojenia cez NAT nefungovali... Co nie je na sieti velmi
akceptovatelne...
>Domnivam se, ze limitovani tcp spojeni vyresi vetsinu problemu
>s mnohacetnymi spojenimi. Umyslne utoky spatne mierenym nmap-om
>a viry sirici se pres UDP je treba resit jinak nez softwarove.
>
>
Napriklad hardwarove? Alebo zmluvnym zakazom? :o) Videl som uz na
viacerych miestach, ze sa connlimit pouziva na NAT routeri ako ochrana
pred preplnenim conntracku, ale toto riesenie na to nie je
dizajnovane... Tak ako je to pisane v dokumentacii, je urcene na ochranu
TCP servera pred DoS utokom, a preto neriesi ani UDP a ICMP. Pytal som
sa vas ci vam to staci, a to preto, lebo podla mna to nestaci a preto
mame na to napisany daemon, ktory sleduje velkost a obsah conntracku a v
pripade potreby nahadzuje a vyhadzuje pravidla z firewallu. A tym
obsluzi aj UDP aj ICMP. Ale predsalen, riesit cez to cez userland je
trochu naokolo, lepsie by tomu bolo priamo v jadre, preto som sa pytal
na vas nazor.
M.R.
Další informace o konferenci Linux