2. Fórumok
  3. OS, alkalmazások
  4. Arch Linux
  • Fototrend
    Frissítve: 2019-02-28 11:06 Téma összefoglaló
    Fototrend

    Arch Linux topik

Új hozzászólás Aktív témák

  • vargalex vargalex félisten
    #8604
    #8603 Shyciii
    Új Válasz
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    vargalex
    vargalex
    félisten
    #8603 Shyciii
    #8603 Shyciii

    Most otthoni felhasználásról beszélünk ha jól sejtem. Az otthoni routerek 95%-ának a szoftvere mint egy ementáli sajt, ha a gyári firmware van rajta, és elvétve frissítik (kétlem hogy sokan OpenWRT-t raknak fel a gyári helyett mezei usereknél), és a feldolgozási sebessége is egyenlő a nullával. Legtöbbjük fele olyan gyors sincs, mint a mögötte levő számítógép. Szal én ezekben a home routerekben sosem bíztam, ha biztonságról van szó, és mást se bátorítok arra, hogy most akkor minden rendben van, mert router mögött van. Egyébként évente szoktak csinálni felmérést a home routerekről elég nagy mintavételezéssel, és katasztrófális a helyzet a biztonságuk terén.

    pkttype host limit rate 5/second

    ősszintén szólva passz. A pkttype -nek (packet) három értéke van: broadcast, unicast, multicast. Szal a host nem tom hogyan jön ki, és nem is találok utalást a reference-ben sem.
    Ráadásul utána ez van: reject with icmpx type admin-prohibited
    counter
    Ezt sem értem, hogy miért icmp admin-prohibited típussal utasítjuk vissza? Egyáltalán miért pazarlunk erőforrást arra, hogy aki épp floodol minket, és rossz esetben alig tudjuk feldolgozni, még külön küldözgetünk neki vissza ilyet és ezzel még mi is terheljük a saját gépünket/szerverünket? Miért nem dobjuk el simán?
    Arról nem is beszélve, hogy ez a szabály sima filter inputként van, vagyis a leglassabb feldolgozással bír. Az ilyet én ingress hookba raknám netdev alá. Ez már olyan alacsony szinten van, hogy jóval gyorsabb a feldolgozási sebessége, mint a filter inputé.

    Akkor én a kivétel vagyok, OpenWrt van a routereimen (és a rokonoknál lévőkön, akiknél én állítom be) már a kezdetektől. Még White Russian-al kezdtem 2007-ben...

    A pkttype-nak 5 különböző értéke van, amiből az unicast és a host azonos jelentéssel bír... Mondjuk abban egyetértünk, hogy reject helyett egy drop jobb lenne... Nem kell tudatnuk vele, hogy él a host.

    De gondolom az alap config nem egy ajánlás, csak egy példa, ami egyébként működőképes.

Új hozzászólás Aktív témák