alibek Опубликовано 29 октября, 2014 · Жалоба Для tcp там есть max-src-conn-rate. А как можно настроить лимиты на udp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 октября, 2014 · Жалоба max-src-states ещё есть, оно и к юдп должно применятся, по идее. А в чём задумка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 29 октября, 2014 · Жалоба DNS защитить. У меня BIND 9.8, там RRL нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 29 октября, 2014 · Жалоба это стейты плодить. а стейты - это мало того что дорого... но еще и глупо для stateless-протокола. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 30 октября, 2014 · Жалоба DNS защитить. У меня BIND 9.8, там RRL нет. А чего не поставить с ррл? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 30 октября, 2014 · Жалоба Поставлю скоро, но это время займет — нужно обновить систему, порты и только потом переустановить BIND. А грузят сервер сейчас. Закрыть снаружи не могу, нужно временное решение. это стейты плодить. а стейты - это мало того что дорого... но еще и глупо для stateless-протокола. Зачем стейты? Просто считать хиты на IP-адрес. В iptables помоему такое я видел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 30 октября, 2014 · Жалоба Зачем стейты? Просто считать хиты на IP-адрес. В iptables помоему такое я видел. iptables hashlimit. но это всё равно форма стейтов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wheely Опубликовано 3 ноября, 2014 · Жалоба Зачем стейты? Просто считать хиты на IP-адрес. В iptables помоему такое я видел. iptables hashlimit. но это всё равно форма стейтов. Работают эти стейты действительно ОЧЕНЬ быстро и оверхедят сравнительно мало по отношению к классике state - коннтреку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 4 декабря, 2014 · Жалоба Снова спрошу. Есть сервер с FreeBSD и pf, на сервере работает два DNS-сервера, NSD и Unbound. На сервере в логах периодически попадается "[zone: pf states] PF states limit reached". pfctl -ss показывает несколько тысяч стейтов (сейчас их 5600), практически все это DNS. pf.conf такой: rdr on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 53 -> $if_dns port 5353 nat on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 53 -> $if_dns port 5353 nat on $if_ext proto {tcp udp} from $if_dns port 5353 to !<netpub> -> $if_dns port 53 ... pass in quick on $if_ext proto {tcp udp} to self port 53 pass in quick on $if_ext proto {tcp udp} from !<netpub> to $if_dns port 5353 Связано это с тем, что для внутренней сети на 53 порту должен отвечать Unbound, а для внешней сети на 53 порту должен отвечать NSD (который на самом деле работает на порту 5353). Как я понимаю, отключать стейты (указать no state) мне нельзя. Не посоветуете, что можно сделать? Увеличить лимиты или все же отключить стейты? По поводу отключения — тут пишут, что pf игнорирует no state. У меня тоже не отключается — если указать для последних двух правил no state, то стейты все равно создаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...