Завалы пингами: какой смысл?

Смысл в том что твою машину сканируют на наличие дыр и свободных портов... А лечиться.... Х-м... Ну можно iptablesом ограничить через лимит кол-во пингов... Например поставить 3 и всё... Потом он его отрубает и ему надо снова подключаться, так как сессия виснет (из-за DROP)

icmp-сессия?
Ну-ну.

> На кой вообще валят пингами? Ну, влечу я на трафике

В дополнение к тому, что было сказано. Бывает категория умственно неполноценных людей, смысл жизни которых -- "насрать ближнему". Или обиженных на белый свет за то, что за трафик надо платить и они не могут сутками качать порнуху. Заваливая вас пингами, они не платят за свой трафик, так как для них он исходящий, который у очень многих провайдеров не оплачивается, но "мстят" вам в своем понимании. Разбирались с одним таким не так давно. Бред в духе "ВСЕ должно быть бесплатно".

> Ну, влечу я на трафике
0) ты заплатишь за этот траффик лишние деньги, думаю твоему начальству это не очень понравится;
1) если что-то идет по каналу, то он уменьшается, следовательно это что-то мешает передвижению нужных пакетов ==> клиенты будут недовольны снижением скорости.

> то кому это нужно?
Врагам :-))

> как лечить?
> только полное убивание у прова ICMP-пакетов на меня... А как же нормальные пинги?
А зачем убивать ВСЕ ICMP-пакеты ? Достаточно определить откуда идут левые и забанить хосты/сети отправителей, rambler.ru при этом закрывать не надо, они ведь ни в чем не виноваты :-)

2 Boroda10:
> твою машину сканируют на наличие дыр и свободных портов
ICMP пакетами можно сканить порты ???? Секретом не поделитесь ?

> Потом он его отрубает и ему надо снова подключаться, так как сессия виснет
Какая сессия ? Разве бывают ICMP-сессии ??? А даже, если что-то там и виснет, то генерация и отправка пакетов ведь все равно не прекращаются, а следовательно и забивание чьего-то канала тоже не уменьшается.

Можно подделывать в пакетах icmp адрес отправителя.
Тогда придётся банить все icmp.

>Бред в духе "ВСЕ должно быть бесплатно"

Я фигею...

И что, не лечится? Я помню, тут недавно топик был про то, что чел влетел на копеечку, думаю не от того, что лень было самому провайдеру ЗАРАНЕЕ как-то фильтровать такой мусор - есть же какие-то причины!

>можно iptablesом ограничить через лимит кол-во пингов

Т.е., так-то так:

iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP

наколько я понял, этим правилом после пятого пинга включается ограничение на 3 пинга в минуту для этой сессии? Так?

А разве это спасет? Ну, отсекает мой сервер запросы, но сами-то запросы на сервер идут, и трафик тикает...

> думаю не от того, что лень было самому провайдеру ЗАРАНЕЕ как-то фильтровать такой мусор

А что такое "мусор"? Провайдер согласно договору предоставляет услугу доставки трафика. А что там в этом трафике -- его не касается. Если провайдер каким-либо образом ограничивает трафик (по портам ли, по хостам ли) БЕЗ уведомления клиента, то такой провайдер имеет шансы крупно влететь в суде.

> Ну, отсекает мой сервер запросы, но сами-то запросы на сервер идут, и трафик тикает...

Вот именно. Тут только договариваться с провайдером о жесткой фильтрации У НЕГО. То бишь НА ВАШ ПОРТ (на веревку от провайдера к вам) пускать только пакеты к тем сервисам, которые запущены у вас. Но пропускать все пакеты, которые являются ответными на ваши запросы. Это только на словах сложно, на самом деле -- несколько правил для провайдерского файрволла (если таковой вообще есть).

Ну и зачем это нужно провайдеру? Зачем ему платить за ВАШ трафик, самому его принимая , а вам отсекая. Он что такой альтруист? Я таких не видел. Это проблемы не провайдера, а ваши.

То, что это мои проблемы мне и так понятно, но все равно какой то выход найти нужно :)

И вообще, я не уверен, что мой провайдер платит за траффик - мне кажется у него (у обоих) просто абонплата за канал на Украину и все :)

> Ну и зачем это нужно провайдеру?
Да хотя бы для того, чтоб не потерять клиента(ов).

> Зачем ему платить за ВАШ трафик
А кто мешает точно так же поступить и ему ??? Пусть обратится к тем, откуда он берет inet, и попросит прикрыть дыру к себе для ICMP (или других пакетов).

> Он что такой альтруист?
Это не альтруизм, это нормальные человеческие отношения.

> Это проблемы не провайдера, а ваши.
А никто и не перекладывает на прова свои проблемы, его просто просят помочь.

2 spirit и всем остальным .

правильно ли следуюшее ? если я фаерволлом закрываю тот же пинг , происходит следуюшее: пакет приходит на хост проходит по стеку tcp , на нужном уровне обрабатывается фаерволом и только потом допустим отрубается , тоесть трафик все равно считается

далее если я допустим на щлюзе закрываю пинг из вне, на сервер повредит ли это работе сервера ??