limit icmp packet size pri echo_request

Автор	Съобщение
anonymous Пон, 15.09.08, 15:22	здравейте, някой нясно как да лимитнем icmp echo_requesta размера(не rate) на пакета , освен чрез sysctl/kernel parameters/ . Някой знае ли някои пач за кернела/iptables да работи с -match ?
	Отговор  За печат
deringer Пон, 15.09.08, 20:04	http://manpages.ubuntu.com/manpages/dapper/man8/fping.html ping [ -LRUbdfnqrvVaAB] [ -c count] [ -i interval] [ -l preload] [ -p pattern] [ -s packetsize] [ -t ttl] [ -w deadline] [ -F flowlabel] [ -I interface] [ -M hint] [ -Q tos] [ -S sndbuf] [ -T timestamp option] [ -W timeout] [ hop ...] Или аз нещо не мога да чатна точно какво искаш?! Може ли малко по-подробно за замисъла.. ;) Иначе попаднах и на това: You can also limit ICMP traffic by creating QoS rule for ICMP and combine it with maximum ICMP echo-request size in your Firewall. For instance common icmp echo-request size from windows workstation is 32+28=60B. If you create QoS class with maximum speed of 600B/s=4800bit/s, then you will allow only 10 requests/second. редактиран от deringer на 15.09.08 20:06
	Отговор  За печат
anonymous Пон, 15.09.08, 21:50	Примерно: iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -i eth0 -j ACCEPT iptables-save > /etc/sysconfig/iptables Ако говориш за намален размер /тъй наречената DoS атака/ просто кажи. Така зададен въпроса ти е малко, мммм, неясен /поне за мен/.
	Отговор  За печат
anonymous Вто, 16.09.08, 11:51	RE: limit icmp packet size pri echo_request здравейте, мерси за съветите, но имах предвид не rate,а size . Конкретен пример, някой праваи посредством ping командата или негов appl echo_request до вас, ако дайтаграма е по-голяма от опр. size да може да я мачваш и да може да приложиш всичко, айде ако е по голям от МТУ се фрагментират и може да зададеш буфер и лимити през sysctl на кернел параметри, но искам да намеря пач за кернел/iptables да прави това както -m match -limit на rate или -m match -lenght :-size което валидно само за големина на пакета но при icmp не върши работа. Без употребата на QoS(tc ot iproute и различни дидцип.)
	Отговор  За печат
anonymous Вто, 16.09.08, 11:56	RE: limit icmp packet size pri echo_request DoS атака е валидна и може да се приложи само върхо service който се провайдва/tcp/udp/, останалото са различни видове floods. Хубавото на нетфилтер/iptables , че е stateful fw, но е къде къде по secure ako изходшат от параноята и поставиш рулес и на input и на output-а като полистата са дроп и хубаво преглеждаш комбинациите tcp headers флагове които се комбинират.
	Отговор  За печат

Коментар