The Ripper

еще раз - chain policy тут ни при чем policy - предписание, что делать с пакетом не подошедшим ни под одно правило в цепочке речь о established и related состояниях (ответах, то есть) при отсутствии разрешающих правил ? для unbound - outgoing-port-permit: тут-диапазон и безусловно делать accept в этот диапазон на входе пока нет запроса, нет открытого порта

chain policy к conntrack не имеет отношения вы же когда даете/не даете доступ в acl самого userspace приложения, там же нет никакого conntrack и отслеживания состояний уберите nf_conntrack и то же самое будет уже происходить в ядре и более эффективно если нужно что-то дропать еще более эффективно - ссылку на cloudflare выше дал :)

как должны выглядеть правила в этом случае? nf_conntrack можно и не загружать, если нет правил его использующих (--state и проч.) и/или nat

...рекомендуется прикрывать tcp wrappers'ами и собственными acl слушающие сеть сервисы то есть если у меня даже охулиард правил в input у меня тормозит forward, чтоли ? :) "Собственный acl сервиса" должен быть конечно. Но тут уже больше для приличия. Пусть, например, рекурсор тратит вычислительную мощность для, непосредственно, работы, а не решает кому зя, а кому низя.

Да чего спорим-то ? Речь о kernel/userspace идет, не более. Про conntrack мимо - его можно и не использовать. И ядром фильтровать ненужное разумнее, нежели передавать это в юзерспейс и т.д. Понятно что tcpwrappers и forwarding это про красное и круглое. На пальцах - скорее всего, конфеты едите без фантиков ? То есть у вас есть спец инструмент для очистки конфеты (руки), инструмент для оценки конфеты (глаза, обоняние), и только потом вы принимаете решение пустить конфету по пищеварительному тракту. Пихать все в юзерспейс - это, кмк, жрать конфеты не снимая фантики. В теории некоторые виды обертки могут быть переварены, конечно. Но зачем ? :)

Ну да. В жизни всегда все так, как ожидается. Все идет по плану. Исключительно всегда. ;) Речь, конечно, шла не о dns. А вообще, чуть больше 1mpps спокойно переварили четырехядерные sandybdirge супермикры (nftables с flowtables). Интересно, что об этом подумал бы tcpwrappers ? :)

Будто 1Mpps и более что-то из карьера с белазами :) Я и на своей мелкой сети такое видел. Ну ладно, я спорить не буду. Оно мне надо ? ;)

kernel или userspace ? cloudflare, вон, вообще еще "до" фильтрует - https://blog.cloudflare.com/l4drop-xdp-ebpf-based-ddos-mitigations

man openvpn в районе --multihome

Вы как считаете, с каким dst-address пойдет пакет в таблицу forward после того, как в nat вы сделали dstnat ? :) Намек в 4 посте. Дополнительно srcnat с адресом внутреннего интерфейса надо делать, если на целевой железке нет маршрута 0.0.0.0/0 через ваш же микротик.

вторая строка s/dst-address=91.xxx.xxx.xxx/dst-address=10.0.0.10/

Поправил. Отлично. Только я че-т туплю: забрать хде ? :)на sf.net лежит 0.2.0

на wive-ng 0.2.0 при попытке использовать state match в iptables (т.е. iptables -m state) никто не ловил segfault ? железка zyxel P-330W EE