On Fri, Aug 10, 2007 at 08:31:09PM +0200, Matys Łukasz wrote:

marcin pisze:

...

Blokada p2p

iptables -t mangle -A FORWARD -p tcp -s %i -m ipp2p --ipp2p -j DROP iptables -t mangle -A INPUT -p tcp -s %i -m ipp2p --ipp2p -j DROP iptables -t mangle -A OUTPUT -p tcp -s %i -m ipp2p --ipp2p -j DROP\n

Pozdrawiam I dzieki za odpowiedzi

W tablicy mangle nie powinno sie stosowac polityk odrzucania pakietow itp, tylko sluzy ona do modyfikacji, lub oznaczania.

Odrzucanie ruchu w lancuchach input, i output jest bez sensu (jezeli mowimy o routerze).

Za to odrzucanie w tablicy mangle jest o wiele bardziej efektywne niż w net/filter. Gdyż maszyna DoSowana która odrzuca pakiety w nat/filter zostanie "zjedzona" przez netfilter, natomiast odrzucając pakiety w tablicy mangle, będzie można normalnie pracować. Rożnica: DoS i dropowanie w nat/filter - loadav rzędu 2.0 wręcz do 10-20 przerzucanie dropowania do mangle loadav rzędu 0.1 do 0.6 -- Szanuj admina swego, możesz mieć gorszego..... (c) 2000 Przemysław Gubernat +-=-=- Przemysław Gubernat <repcio@repcio.net> -=-=-=-=-=-=-+ | _API Internet_ A. Stolarczyk i P. Gubernat Spółka Jawna | | System Administrator @ Repcio.NET | | Jestem twoim ostatecznym rozwiązaniem ! | +-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-+ _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms