LINUX.ORG.RU
ФорумAdmin

Iptables

 


0

1

Что-то я усомнился в элементарном. На сервер флудят с миллиона фальшивых адресов с достаточно большим pps, пакеты попадают (и должны) в цепочку с правилами hashlimit. Таблица хешей не велика и переполняется. Увеличение размера таблиц приводит к деградации производительности. Соответственно стоит задача отбросить пакеты в начале цепочки, чтобы они не дошли до hashlimit. При этом сами правила hashlimit идут с действиями log (логируем если пакетов больше, чем Х), drop(дропаем если пакетов больше чем Х+10) и accept(дополнительное правило лимитирует число новых пакетов). Соответственно, даже если я дропну пакеты в начале цепочки, как минимум в последний accept они попадут (вдруг пакет все-таки нужно разрешить по этому правилу).

В общем понимаю что вопрос тривиальный, но дабы проверить себя ))



Последнее исправление: Amoled (всего исправлений: 1)
Ответ на: комментарий от Amoled

Это не моя логика, это принципы работы пакетного фильтра в linux.

после ACCEPT, соответственно должно отменить DROP'нуть пакеты, которые были пропущены выше.

Тут у тебя еще одна фундаментальная ошибка. Как только пакет подпадает под условия одного из правил он уходит в назначенный таргет и более не обрабатывается фильтром (т.е. если он уже подпал под ACCEPT в первом правиле, то все иные правила данному пакету побоку, даже если следом будет -p all -j DROP).

BOOBLIK ★★★★
()
Ответ на: комментарий от BOOBLIK

Мне потребуется немного времени на осознание того, как предыдущие 5 лет администрирования linux-серверов я мог думать иначе.

Amoled
() автор топика
Ответ на: комментарий от Amoled

Понимаю. Пробежался по созданным тобой топикам про всякие ha-кластеры и апачи и прочие жуткие штуки и немного удивился задаваемым в этом треде вопросам.

BOOBLIK ★★★★
()
Ответ на: комментарий от BOOBLIK

Как только пакет подпадает под условия одного из правил он уходит в назначенный таргет и более не обрабатывается фильтром

На всякий случай уточню для ТС, что таргеты бывают терминирующими (ACCEPT, DROP, REJECT) и не терминирующими (LOG, MARK). После вторых пакет продолжает идти по правилам цепочки.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.