icmp & udp limit в FreeBSD

[Anton67]

После того как впервые пришлось столкнуться с зараженными машинами пользователей, конкретно с dns-флудом на сервера ulta-online, следствием которых стала высокая нагрузка на мой bind а в некоторых случаях и выпадение его в core, а также icmp-флуд на какие-то хосты в инете, я задался вопросом, каким образом можно превентивно защититься от подобных вещей? Есть какие-либо варианты, кроме шейпинга?

В iptables есть замечательный параметр --limit, которым можно ограничить количество пакетов в минуту, к примеру, но аналогичного функционала у ipfw нет. Умеют ли подобные вещи pf или ipf?

[Сильвер]

В iptables есть замечательный параметр --limit, которым можно ограничить количество пакетов в минуту, к примеру, но аналогичного функционала у ipfw нет.

ipfw может выставлять лимит одновременных соединений.

[vop]

ipfw может выставлять лимит одновременных соединений.

В iptables этот параметр называется connlimit

Edited October 20, 2007 by vop

[mikevlz]

чиста теоретически можно еще попробовать поиграться с очередями Dummynet. или с задержками. Причем чисто для Icmp/udp

[Anton67]

ipfw может выставлять лимит одновременных соединений.

Каким образом "соединение" применимо к udp запросам? Или icmp?

[Том Сойер]

чиста теоретически можно еще попробовать поиграться с очередями Dummynet. или с задержками. Причем чисто для Icmp/udp

Вот это интересное нампавление мысли, кто - нибудь реализовывал?

[necrozz]

чиста теоретически можно еще попробовать поиграться с очередями Dummynet. или с задержками. Причем чисто для Icmp/udp

Вот это интересное нампавление мысли, кто - нибудь реализовывал?

Что-то вот такое например :)

/sbin/ipfw -q pipe 10 config mask src-ip 0xffffffff bw 1Mbit/s

/sbin/ipfw -q add 1000 pipe 10 icmp from any to any