Jump to content

Как можно лимитировать udp-пакеты в pf?

alibek
 Share

Recommended Posts

alibek

alibek

Posted
  • Author
Posted

Поставлю скоро, но это время займет — нужно обновить систему, порты и только потом переустановить BIND.

А грузят сервер сейчас. Закрыть снаружи не могу, нужно временное решение.

 

это стейты плодить. а стейты - это мало того что дорого... но еще и глупо для stateless-протокола.

Зачем стейты?

Просто считать хиты на IP-адрес.

В iptables помоему такое я видел.

Wheely

Wheely

Posted
Posted

Зачем стейты?

Просто считать хиты на IP-адрес.

В iptables помоему такое я видел.

iptables hashlimit. но это всё равно форма стейтов.

 

Работают эти стейты действительно ОЧЕНЬ быстро и оверхедят сравнительно мало по отношению к классике state - коннтреку.

  • 1 month later...
alibek

alibek

Posted
  • Author
Posted

Снова спрошу.

Есть сервер с FreeBSD и pf, на сервере работает два DNS-сервера, NSD и Unbound.

На сервере в логах периодически попадается "[zone: pf states] PF states limit reached".

pfctl -ss показывает несколько тысяч стейтов (сейчас их 5600), практически все это DNS.

pf.conf такой:

rdr on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 53 -> $if_dns port 5353
nat on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 53 -> $if_dns port 5353
nat on $if_ext proto {tcp udp} from $if_dns port 5353 to !<netpub> -> $if_dns port 53
...
pass in quick on $if_ext proto {tcp udp} to self port 53
pass in quick on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 5353

Связано это с тем, что для внутренней сети на 53 порту должен отвечать Unbound, а для внешней сети на 53 порту должен отвечать NSD (который на самом деле работает на порту 5353).

Как я понимаю, отключать стейты (указать no state) мне нельзя.

Не посоветуете, что можно сделать? Увеличить лимиты или все же отключить стейты?

По поводу отключения — тут пишут, что pf игнорирует no state.

У меня тоже не отключается — если указать для последних двух правил no state, то стейты все равно создаются.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.