пятница, 18 марта 2011 г.

IPFW

Введение в работу с IPFW, на русском: http://ipfw.ism.kiev.ua/nipfw.html

Весьма полная дока: http://www.lissyara.su/doc/docs/handbook_-_ipfw/

Ещё про лимиты
Динамические правила выполняются не там, где они были созданы, а на первом вхождении check-state, или на первом правиле, имеющем предложение keep-state.

limit == keep-state limit
http://forum.nag.ru/forum/index.php?showtopic=16842

http://www.opennet.ru/openforum/vsluhforumID1/60814.html
http://www.opennet.ru/base/net/ipfw_dummynet_mask.txt.html

Внимание! Использование setup keep-state или limit чревато спаммом в messages ошибкой
ipfw: ipfw_install_state: Too many dynamic rules

За максимальное число правил отвечают sysctl
net.inet.ip.fw.dyn_buckets
net.inet.ip.fw.dyn_max

Смотреть через
net.inet.ip.fw.dyn_count

Но просто задрать это значение может не помочь - есть глюк/баг/фича, связанная с keep-alive. Подробнее
Еще почитать:
1, 2, 3, 4

Also, under DDoS, a good idea to enable full stealth mode for TCP and UDP.

net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1

Комментариев нет:

Отправить комментарий