alibek Posted October 29, 2014 · Report post Для tcp там есть max-src-conn-rate. А как можно настроить лимиты на udp? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 29, 2014 · Report post max-src-states ещё есть, оно и к юдп должно применятся, по идее. А в чём задумка? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 29, 2014 · Report post DNS защитить. У меня BIND 9.8, там RRL нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
^rage^ Posted October 29, 2014 · Report post это стейты плодить. а стейты - это мало того что дорого... но еще и глупо для stateless-протокола. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted October 30, 2014 · Report post DNS защитить. У меня BIND 9.8, там RRL нет. А чего не поставить с ррл? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 30, 2014 · Report post Поставлю скоро, но это время займет — нужно обновить систему, порты и только потом переустановить BIND. А грузят сервер сейчас. Закрыть снаружи не могу, нужно временное решение. это стейты плодить. а стейты - это мало того что дорого... но еще и глупо для stateless-протокола. Зачем стейты? Просто считать хиты на IP-адрес. В iptables помоему такое я видел. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
^rage^ Posted October 30, 2014 · Report post Зачем стейты? Просто считать хиты на IP-адрес. В iptables помоему такое я видел. iptables hashlimit. но это всё равно форма стейтов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wheely Posted November 3, 2014 · Report post Зачем стейты? Просто считать хиты на IP-адрес. В iptables помоему такое я видел. iptables hashlimit. но это всё равно форма стейтов. Работают эти стейты действительно ОЧЕНЬ быстро и оверхедят сравнительно мало по отношению к классике state - коннтреку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 4, 2014 · Report post Снова спрошу. Есть сервер с FreeBSD и pf, на сервере работает два DNS-сервера, NSD и Unbound. На сервере в логах периодически попадается "[zone: pf states] PF states limit reached". pfctl -ss показывает несколько тысяч стейтов (сейчас их 5600), практически все это DNS. pf.conf такой: rdr on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 53 -> $if_dns port 5353 nat on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 53 -> $if_dns port 5353 nat on $if_ext proto {tcp udp} from $if_dns port 5353 to !<netpub> -> $if_dns port 53 ... pass in quick on $if_ext proto {tcp udp} to self port 53 pass in quick on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 5353 Связано это с тем, что для внутренней сети на 53 порту должен отвечать Unbound, а для внешней сети на 53 порту должен отвечать NSD (который на самом деле работает на порту 5353). Как я понимаю, отключать стейты (указать no state) мне нельзя. Не посоветуете, что можно сделать? Увеличить лимиты или все же отключить стейты? По поводу отключения — тут пишут, что pf игнорирует no state. У меня тоже не отключается — если указать для последних двух правил no state, то стейты все равно создаются. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...