On Fri, Aug 10, 2007 at 08:31:09PM +0200, Matys Łukasz wrote:
marcin pisze:
Blokada p2p
iptables -t mangle -A FORWARD -p tcp -s %i -m ipp2p --ipp2p -j DROP iptables -t mangle -A INPUT -p tcp -s %i -m ipp2p --ipp2p -j DROP iptables -t mangle -A OUTPUT -p tcp -s %i -m ipp2p --ipp2p -j DROP\n
Pozdrawiam I dzieki za odpowiedzi
W tablicy mangle nie powinno sie stosowac polityk odrzucania pakietow itp, tylko sluzy ona do modyfikacji, lub oznaczania.
Odrzucanie ruchu w lancuchach input, i output jest bez sensu (jezeli mowimy o routerze).
Za to odrzucanie w tablicy mangle jest o wiele bardziej efektywne niż w net/filter. Gdyż maszyna DoSowana która odrzuca pakiety w nat/filter zostanie "zjedzona" przez netfilter, natomiast odrzucając pakiety w tablicy mangle, będzie można normalnie pracować. Rożnica: DoS i dropowanie w nat/filter - loadav rzędu 2.0 wręcz do 10-20 przerzucanie dropowania do mangle loadav rzędu 0.1 do 0.6