OpenForum RSS: Новый пакетный фильтр для борьбы с флудом на уровне Linux ядра https://opennet.dev/openforum/vsluhforumID3/47873.html Jeffrey Merkey представил (http://lkml.org/lkml/2009/1/8/467) в списке рассылки разработчиков Linux ядра код нового специализированного пакетного фильтра FF, предназначенного для блокирования большого числа IP адресов в сетях с интенсивным трафиком. FF состоит из модуля Linux ядра и утилиты для управления пакетным фильтром. Представленный пакетный фильтр не отличается такой гибкостью как iptables, но опережает последний по производительности (блокирование производится на уровне драйвера e1000) и потребляет значительно меньше памяти в расчете на один IP.<br><br><br>Главная задача FF - защита от DoS/DDoS атаки и блокирование различного флуда и паразитного трафика. В качестве примера, представлен код для интеграции разработки с postfix, для борьбы с роботами спамеров, выступая в роли более жесткой системы блокирования для серых или черных списков. На почтовом сервере с 1Гб ОЗУ 500,000 <br><br>URL: http://lkml.org/lkml/2009/1/8/467<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=19731<br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (iZEN) https://opennet.dev/openforum/vsluhforumID3/47873.html#58 Tue, 13 Jan 2009 23:44:14 GMT &gt;у Вас на adsl стоит линух... (или для Вас это был секрет?).. <br>&gt;и то что я писал про mss, фрагментацию,.. всё относилось именно <br>&gt;к нему. <br><br>Не к роутеру, как к таковому (в локалке он работает фактически как свитч), а к Linux Mint, установленному на одной из машин в локалке. Именно настольный Linux зафлуживал локальную сеть так, что ни одна из других машин не могла "пробиться" к роутеру (и нормальным образом пользоваться Интернетом).<br><br>Ещё Linux учудил: на роутере я изменил фиксированный IP-адрес, так он ни в какую не пожелал работать с ним и не принимал новый IP-адрес роутера за адрес основного шлюза. Перезагрузки, включение DHCP, переконфигурирвание соединения в графическом настройщике -- бестолку -- IP-адрес шлюза был и оставался старый айпишник. :)) Устал бороться. Снёс. Теперь спокойно пользуюсь PC-BSD (ответ на вопрос "как настроить переключалку клавиатуры ЛАТ/РУС в KDE" мне ещё предстоит выяснить, потому что заветная строчка в xorg.conf, которая работает в Xfce4, в PC-BSD отказывает работать! :) )<br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (vitek) https://opennet.dev/openforum/vsluhforumID3/47873.html#57 Tue, 13 Jan 2009 22:55:57 GMT у Вас на adsl стоит линух... (или для Вас это был секрет?).. и то что я писал про mss, фрагментацию,.. всё относилось именно к нему.<br><br>и Вы всё это расписываете не ощущая никаких неудобств с сетью.<br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (iZEN) https://opennet.dev/openforum/vsluhforumID3/47873.html#56 Tue, 13 Jan 2009 19:34:43 GMT &gt;linux убил локалку -- бред<br><br>Не бред. Сегодня снёс к чертям собачьим Linux Mint и на ту же машину установил PC-BSD 7.0.1.<br>В текущий момент она занимается обновлением установленного ПО из бинарных пакетов, качает некоторые пакеты из Интернет, а другие пакеты берёт с моей машины (по NFS расшарен каталог packages/All).<br><br>И я здесь всё это расписываю, не ощущая никаких неудобств с сетью.<br><br><br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (Аноним) https://opennet.dev/openforum/vsluhforumID3/47873.html#55 Tue, 13 Jan 2009 05:12:21 GMT &gt;&gt;Так это можно будет использовать параллельно с netfilter (iptables, iproute2, ipset)? <br>&gt;<br>&gt;Можно, тольк ещё сетевуху Intel Gigabit надо купить, где будешь юзать :) <br>&gt;<br><br>Уже прикупил, около ста штук e1000. Все серваки на них. <br>Весь мир нах зафаерволлю! :-)<br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (vitek) https://opennet.dev/openforum/vsluhforumID3/47873.html#54 Tue, 13 Jan 2009 05:03:17 GMT о чем и речь.<br>и на вопрос "приведите пример этого паразитного трафика" получаю вот этот бред.<br>ну что тут скажешь?<br>тем более, что уж в линухе весь трафик контролировать или как минимум смотреть не проблема - tcpdump, trafshow,... iptables'ом в лог загнать наконец...<br>всё это больше говорит о квалификации оппонента. <br>ведь эти же вопросы (контроль трафика) решаются и в бзд, и в солярке, и в макоси, и даже в виндах.<br>зато ляпнуть, что линух гамно, а вот в бзд супер-пупер - это да.<br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (pavel_simple) https://opennet.dev/openforum/vsluhforumID3/47873.html#53 Tue, 13 Jan 2009 01:24:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;сейчас могу заключить только одно - Вы не справились... в Вашем случае <br>&gt;&gt;линух победил бзд.<br>&gt;<br>&gt;Кто кого "победил" &#8212; тот ещё вопрос. <br>&gt;Когда машины с альтернативными операционками начинают задыхаться от присутствия в сети борова <br>&gt;под названием Linux, который выжирает в буквальном смысле всю полосу пропускания, <br>&gt;дай только коннект... Это, позвольте заметить, уже серьёзный удар по этим <br>&gt;самым альтернативным операционкам, которые настроены на минимизацию своих "голосов" и упорядочение <br>&gt;исходящего от них трафика в едином домене коллизий (то биш в <br>&gt;одном сегменте локалки). <br><br>linux убил локалку -- бред<br><br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (iZEN) https://opennet.dev/openforum/vsluhforumID3/47873.html#52 Tue, 13 Jan 2009 00:43:14 GMT &gt;&gt;Но это не помогло -- сам роутер не справляется от паразитного трафика, генерируемого Linux Mint. <br>&gt;<br>&gt;это полная чушь. <br>&gt;приведите хоть один пример "паразитного" трафика от линуха (tcpdump подойдёт). <br>&gt;некоторые вещи я написал выше.... <br>&gt;годов так 8 назад сильно боролся с adsl (авив правда был)... <br>&gt;сейчас могу заключить только одно - Вы не справились... в Вашем случае <br>&gt;линух победил бзд.<br><br>Кто кого "победил" &#8212; тот ещё вопрос.<br>Когда машины с альтернативными операционками начинают задыхаться от присутствия в сети борова под названием Linux, который выжирает в буквальном смысле всю полосу пропускания, дай только коннект... Это, позвольте заметить, уже серьёзный удар по этим самым альтернативным операционкам, которые настроены на минимизацию своих "голосов" и упорядочение исходящего от них трафика в едином домене коллизий (то биш в одном сегменте локалки).<br><br><br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (vitek) https://opennet.dev/openforum/vsluhforumID3/47873.html#51 Mon, 12 Jan 2009 23:21:31 GMT &gt;Но это не помогло -- сам роутер не справляется от паразитного трафика, генерируемого Linux Mint. <br><br>это полная чушь.<br>приведите хоть один пример "паразитного" трафика от линуха (tcpdump подойдёт).<br>некоторые вещи я написал выше....<br>годов так 8 назад сильно боролся с adsl (авив правда был)...<br>сейчас могу заключить только одно - Вы не справились... в Вашем случае линух победил бзд. <br> Новый пакетный фильтр для борьбы с флудом на уровне Linux яд (iZEN) https://opennet.dev/openforum/vsluhforumID3/47873.html#50 Mon, 12 Jan 2009 22:37:43 GMT &gt;man pf.conf <br><br>Да, спасибо. Сумел сделать отсылку фингерпринта ("Linux", "Windows" "Cisco" и их вариации) на исходящем соединении. Но это не помогло -- сам роутер не справляется от паразитного трафика, генерируемого Linux Mint. Просто модем не такой функциональный, чтобы шейпить по-нормальному и отсекать излишне "разговорчивых" клиентов.<br><br><br>