kirush Posted November 3, 2009 Posted November 3, 2009 Nov 3 01:02:24 gate kernel: Limiting icmp unreach response from 362 to 200 packets/sec Nov 3 01:02:25 gate kernel: Limiting icmp unreach response from 386 to 200 packets/sec Nov 3 01:02:26 gate kernel: Limiting icmp unreach response from 405 to 200 packets/sec Nov 3 01:02:27 gate kernel: Limiting icmp unreach response from 392 to 200 packets/sec Nov 3 01:02:28 gate kernel: Limiting icmp unreach response from 394 to 200 packets/sec Nov 3 01:02:29 gate kernel: Limiting icmp unreach response from 364 to 200 packets/sec Nov 3 01:02:30 gate kernel: Limiting icmp unreach response from 361 to 200 packets/sec При таких сообщениях, терялась связь с роутером. Явный icmp флуд. Какие способы борьбы? Система FreeBSD, пока установил: 00002 1 144 reject log logamount 10 tcp from any to any not established tcpflags fin 00003 3480 758352 deny log logamount 10 ip from any to any not verrevpath in 00004 187 11980 allow icmp from any to any out icmptypes 8 00005 22 1848 allow icmp from any to any in icmptypes 0 00006 68251 7930332 deny icmp from any to any in icmptypes 8 00040 24951 1707163 allow icmp from any 1.1.1.1 in via rl0 icmptypes 0,8,11 limit src-addr 2 где 1.1.1.1 внешний ИП адрес, rl0 внешний интерфейс. в syctl.conf (применил через sysctl -w): net.inet.tcp.blackhole=1 net.inet.udp.blackhole=1 Но это уж слижком координально, так как заблокировал всё что только можно... Как более лояльно настроить? Вставить ник Quote
Dyr Posted November 3, 2009 Posted November 3, 2009 (edited) sysctl net.inet.icmp.icmplim=1000 ? :) Можно ещё ограничить icmp по размерам пакетов. Edited November 3, 2009 by Dyr Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.