Arch Linux - Fototrend Hozzászólások

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Fototrend

Frissítve: 2019-02-28 11:06 Téma összefoglaló

Fototrend

Arch Linux topik

Új hozzászólás Aktív témák

Shyciii veterán

#8603
#8602 vargalex
2022-10-26 09:28:32

Új Válasz
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

Shyciii

veterán

#8602 vargalex

#8602 vargalex
A legtöbb esetben úgyis van előtte egy router, ami ezeket már be sem engedi... És ugye ezek az input láncon vannak engedélyezve, ami egy LAN-on csücsülő headless eszköz esetén pont jól jön.
Nem néztem át tüzetesen a config-ot, de az 5/second-os rate limit nem global beállítás minden kapcsolatra?

Most otthoni felhasználásról beszélünk ha jól sejtem. Az otthoni routerek 95%-ának a szoftvere mint egy ementáli sajt, ha a gyári firmware van rajta, és elvétve frissítik (kétlem hogy sokan OpenWRT-t raknak fel a gyári helyett mezei usereknél), és a feldolgozási sebessége is egyenlő a nullával. Legtöbbjük fele olyan gyors sincs, mint a mögötte levő számítógép. Szal én ezekben a home routerekben sosem bíztam, ha biztonságról van szó, és mást se bátorítok arra, hogy most akkor minden rendben van, mert router mögött van. Egyébként évente szoktak csinálni felmérést a home routerekről elég nagy mintavételezéssel, és katasztrófális a helyzet a biztonságuk terén.

pkttype host limit rate 5/second
ősszintén szólva passz. A pkttype -nek (packet) három értéke van: broadcast, unicast, multicast. Szal a host nem tom hogyan jön ki, és nem is találok utalást a reference-ben sem.
Ráadásul utána ez van: reject with icmpx type admin-prohibited
counter
Ezt sem értem, hogy miért icmp admin-prohibited típussal utasítjuk vissza? Egyáltalán miért pazarlunk erőforrást arra, hogy aki épp floodol minket, és rossz esetben alig tudjuk feldolgozni, még külön küldözgetünk neki vissza ilyet és ezzel még mi is terheljük a saját gépünket/szerverünket? Miért nem dobjuk el simán?
Arról nem is beszélve, hogy ez a szabály sima filter inputként van, vagyis a leglassabb feldolgozással bír. Az ilyet én ingress hookba raknám netdev alá. Ez már olyan alacsony szinten van, hogy jóval gyorsabb a feldolgozási sebessége, mint a filter inputé.