> > Ar yra koks nors nesunkus budas Linux'e (nerasant spec modulio iptables :) palimituoti > > ateinanciu paketu kieki pagal keletos baituku turini pakete? Ta prasme ateiti aisku jie > > ateina, reikia tik iki aplikacijos nepraleisti flood'o. Atskiros uzduoties dalys yra - ir paketu > > limitavimas (set/hitcount), ir match'inimas pagal turini (u32), bet kazkaip nepagaunu ar tai > > nors teoriskai galima sujungti i viena taisykle? > > To reikia dhcp serveriuko apsaugai nuo floodo, paprasti tikrinimai pagal mac/ip ir pan > > netinka nes uzklausos ateina per relay, o tikrasis mac yra tam tikroje paketo vietoje. > > Pagal keletą baitukų tai matchina u32. > Senai iptables krapščiau, bet jaučiu daryčiau paprastai - viską kas eina > į DHCP mesčiau į atskirą teiblą, tame default policy DROP ir acceptai su > u32 pagal mac'ą. hitcount turbūt nereiktų - tikrasis useris juk turi > gauti IP... Nebutu tai tikrasis useris nebutu ir problemos - nieko jis ir negautu :) Siuo atveju legalus useris buna kartais nusiperka koki brudina routeri kuris is paziuros lyg ir veikia, taciau vietoj to, kad kreiptusi i dhcp kaip jam ir lease time nurodyta, nesustodamas ima varyti papildomai po koki 100req/s. O isc dhcp servisas tai jis paprastas, nei jis limitu turi, nei sugeba su keliais cpu dirbti. Ir sprendimas kas kazkiek laiko skaiciuoti uzklausas ir laikinai su iptables dropinti isismaginusius kazkaip neelegantisaki atrodo