Hirdetés

  2. Fórumok
  3. OS, alkalmazások
  4. Arch Linux
Legfrissebb anyagok
PROHARDVER! témák
Mobilarena témák
IT café témák
GAMEPOD témák

Új hozzászólás Aktív témák

  • Shyciii Shyciii veterán
    #8603
    #8602 vargalex
    Új Válasz
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Shyciii
    Shyciii
    veterán
    #8602 vargalex
    #8602 vargalex

    A legtöbb esetben úgyis van előtte egy router, ami ezeket már be sem engedi... És ugye ezek az input láncon vannak engedélyezve, ami egy LAN-on csücsülő headless eszköz esetén pont jól jön.
    Nem néztem át tüzetesen a config-ot, de az 5/second-os rate limit nem global beállítás minden kapcsolatra?

    Most otthoni felhasználásról beszélünk ha jól sejtem. Az otthoni routerek 95%-ának a szoftvere mint egy ementáli sajt, ha a gyári firmware van rajta, és elvétve frissítik (kétlem hogy sokan OpenWRT-t raknak fel a gyári helyett mezei usereknél), és a feldolgozási sebessége is egyenlő a nullával. Legtöbbjük fele olyan gyors sincs, mint a mögötte levő számítógép. Szal én ezekben a home routerekben sosem bíztam, ha biztonságról van szó, és mást se bátorítok arra, hogy most akkor minden rendben van, mert router mögött van. Egyébként évente szoktak csinálni felmérést a home routerekről elég nagy mintavételezéssel, és katasztrófális a helyzet a biztonságuk terén.

    pkttype host limit rate 5/second

    ősszintén szólva passz. A pkttype -nek (packet) három értéke van: broadcast, unicast, multicast. Szal a host nem tom hogyan jön ki, és nem is találok utalást a reference-ben sem.
    Ráadásul utána ez van: reject with icmpx type admin-prohibited
    counter
    Ezt sem értem, hogy miért icmp admin-prohibited típussal utasítjuk vissza? Egyáltalán miért pazarlunk erőforrást arra, hogy aki épp floodol minket, és rossz esetben alig tudjuk feldolgozni, még külön küldözgetünk neki vissza ilyet és ezzel még mi is terheljük a saját gépünket/szerverünket? Miért nem dobjuk el simán?
    Arról nem is beszélve, hogy ez a szabály sima filter inputként van, vagyis a leglassabb feldolgozással bír. Az ilyet én ingress hookba raknám netdev alá. Ez már olyan alacsony szinten van, hogy jóval gyorsabb a feldolgozási sebessége, mint a filter inputé.

Új hozzászólás Aktív témák