Исходное сообщение
"FreeBSD Foundation профинансирует доработку DIFFUSE и реализ..." Отправлено Аноним, 28-Сен-11 15:49
>> 1) А зачем вообще это ограничивать? >> 2) Неужто ipfw настолько топор что число syn пакетов в единицу времени > Вроде в 8ке только общее количество коннектов. А никак не во времени :( Ппц, а в лине можно например отмаркировать "все syn-пакеты" иптаблезом как "некий поток номер эн" и утолкать сие шейперу, так флуд оными будет лимитирован до вполне конкретных величин как любой иной вид траффика, но приоритет и доступный бандвиз можно задать персонально этому "типу траффика". При этом юзверг не сможет послать более энного числа пакетов в секунду по вполне очевидным причинам (нарвется на лимит траффика потока SYN пакетов). Хотя наверное и иные варианты есть (модуль recent и счет, например). > с разницей в миллисекунду долбилась получала отлуп и опять долбилась. Ого. Как злой воркэраунд - ну воткнуть рулез файру до сквида - если src такой а dst сякой - DROP. Тут и флудить будет сложно (таймаут connect() обычно около 60 секунд) и сквиду срач не достанется. > очень бы помогло packets per second ограничение. Вот уж не подумал бы что в бсде с этим какие-то проблемы. В линухе на раз делается. > Diffuse как я понимаю должен предоставить и такую возможность. Он для этих целей - как из пушки по воробьям.