� Ответ на сообщение Eugene Grosbein (2:5006/1) к Ruslan Suleimanov, написанное 15 сен 20 в 04:58:
EG> 14 сент. 2020, понедельник, в 23:37 NOVT, Ruslan Suleimanov EG> написал(а): RS>> # Запрет X-сканирования: RS>> add 1001 reject log tcp from any to any tcpflags fin, RS>> syn, rst, psh, ack, urg RS>> # Запрет N-сканирования: RS>> add 1002 reject log tcp from any to any tcpflags !fin, RS>> !syn, !rst, !psh, !ack, !urg RS>> # Запрет FIN-сканирования: RS>> add 1003 reject log tcp from any to any not established RS>> tcpflags fin
EG> Чушь полная. Ты на своей стороне не можешь запретить сканировать себя EG> никаким образом. Самое большое, что ты можешь сделать, это дропнуть EG> входящие пакеты после того, как они *УЖЕ* пришли к тебе, EG> но это вовсе не правило reject log tcp - хуже "решения" и придумать EG> сложно, потому что оно мало того что шлет TCP RST в ответ, EG> потенциально заставляя твою систему флудить невинную жертву EG> по подставленному адресу источника, но ещё и нагружает твой CPU EG> бессмысленной генерацией логов.
EG> А дропнуть бессмысленный входящий флуд ядро может само без всякого EG> файрвола, тем более что чем больше правил в файрволе, тем больше EG> нагрузка на обработку этих правил.
EG> Открой для себя sysctl net.inet.tcp.blackhole и EG> sysctl net.inet.udp.blackhole, а так же подумай, EG> почему они не включены по умолчанию.
с правилами выше что я скинул показывает чудесные результаты, tcp.blackhole в значении 2 вообще крутая вещь ! :) единственное както неправильно работает allow ip from any to any setup limit src-addr 10 при том что у меня по умолчанию ipfw allow для всего. Подскажи пжлст как правильно перестроить правило чтобы разрешать с одного IP делать не больше 10 подключений ?
WBR, Ruslan Suleimanov. JabberID: rs@captflint.com --- GoldED+/FreeBSD/..I LIKE UNIX EVERYDAY.. * Origin: ---/RS/FIDO Druzi 199x fido.odessa.ua/ (2:467/888)
