fedusia

На базе Centos все должно обновиться без проблем (если не ставили своими руками что-то), сам лично обновлял centos 4.6 до 4.9 все без проблем работает как работало. Зы: по поводу конфигов. Конфиги с обновленными пакетами ставятся как *.conf.rpmnew Если где-то не прав, то поправьте меня. =)

iperf?

К сожалению я за вас не могу разбираться. Скрипт рабочий, проверить пути и все должно работать, так как сам его использовал на нескольких системах. Вы уверены что скрипт вам выдал ошибку? А не просто отработал и не найдя нужно информации вывел вам пустую строку?

#!/usr/bin/perl -w use strict; if ($#ARGV == -1){ print "Usage ./catdetails <netflow_file> <IP>\n"; exit 1; } my %count = (); open (CMD, '/usr/bin/flow-cat '."$ARGV[0]".' | /usr/bin/flow-export -f2|') or die "Can't open flows: $!\n"; while (<CMD>){ my @array = (split /,/, $_); if ($array[11] eq $ARGV[1]) { #11dst, 10 -src my $time = localtime($array[0]); print "$time\t$array[10]\t\t$array[5]\tdstport\t$array[15]\n"; $count{$array[10]} += $array[5]; } } print "Detail statistic by source in bits:\n"; foreach(sort {$count{$b} <=> $count{$a}} keys %count) { print "$_\t\t$count{$_}\n"; } Как пример привожу свой скрипт по вытаскиванию детальной статистики.

Так ведь если все будут фильтровать SRC, тогда это и будет борьбой с DDoS, ведь левые пакеты не будут покидать сеть? Да, но так помоему никто не делает, магистралы точно не будут строить prefix-lists они фильтруют по as-set + количество максимальных префиксов от даунстрима.

Нет, т.к. регистрация коннекта в списке идет до его реджекта. Т.е. - бот отправил 5 писем, и дальше безуспешно долбится до посинения через файрвол. Можно кол-во писем и время конечно увеличить, к примеру, 20-30 писем за 15 минут... Я бы сказал не 5 писем. А 5 tcp соединений. Это довольно много для одного человека. Т.е. в таблицу попадает человек, который послал 5 tcp SYN пакетов на порт 25. За одно соединение можно отправить гораздо больше писем чем 1.

В данном примере мы разрешаем 5 соединений в минуту по 25 порту, все остальное мы блокируем. И так каждую минуту. Действует давно и классно.

iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP --rsource iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP --rsource -j REJECT --reject-with icmp-port-unreachable 5 соединений в минуту с 1 ip затем следует блокировка.

2 роут сервера -> L2 свитч, поднимаем по 2 сессии с каждым пиром. Думаю для таких задач хватит, как писали выше, P4 и какой-нибудь Д-линк.

Сама циска не является ДНС-сервером. В настройках циски вы указали ДНС сервер, она и будет его использовать, чтобы сопоставить доменному имени Ip-адрес. Но она не является днс-сервером.

Возможно вам необходимо почитать статью про iptables. Советую прочитать iptables tutorial. Может вот хватит данной ссылки http://www.opennet.ru/docs/RUS/iptables/

В настройках BIND можно сказать так: max-cache-ttl 86400 И не надо будет делать постоянно rndc flush.

Я бы сказал, что резать чаще всего могут все что меньше /24. Как было сказано выше, что блок /21 далеко не считается малым блоком, я лично не встречал ни одного провайдера режащего /21. О вопросе связываться с PI считаю, что лучше иметь именно PI, так как вы полностью отвечаете за них и не будете иметь гемороя при смене аплинка.

У меня были ситуации, когда маршруты в кваге есть, но почему-то в локальную таблицу маршрутизации они не попадали. Помогал, только такой метод.

s.lobanov, возьмите себе за правило рестратить квагу вот в такой последовательности: /etc/init.d/bgpd stop /etc/init.d/zebra restart /etc/init.d/bgpd start Т.е. демон БГП должен запускаться после удачного старта Зебры.