Введение в работу с IPFW, на русском: http://ipfw.ism.kiev.ua/nipfw.html
Весьма полная дока: http://www.lissyara.su/doc/docs/handbook_-_ipfw/
Ещё про лимиты
Динамические правила выполняются не там, где они были созданы, а на первом вхождении check-state, или на первом правиле, имеющем предложение keep-state.
limit == keep-state limit
http://forum.nag.ru/forum/index.php?showtopic=16842
http://www.opennet.ru/openforum/vsluhforumID1/60814.html
http://www.opennet.ru/base/net/ipfw_dummynet_mask.txt.html
Внимание! Использование setup keep-state или limit чревато спаммом в messages ошибкой
ipfw: ipfw_install_state: Too many dynamic rules
За максимальное число правил отвечают sysctl
net.inet.ip.fw.dyn_buckets
net.inet.ip.fw.dyn_max
Смотреть через
net.inet.ip.fw.dyn_count
Но просто задрать это значение может не помочь - есть глюк/баг/фича, связанная с keep-alive. Подробнее
Еще почитать:
1, 2, 3, 4
Also, under DDoS, a good idea to enable full stealth mode for TCP and UDP.
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
Комментариев нет:
Отправить комментарий