> I pacchetti "corrotti", ovvero che hanno qualche problema, sono
> filtrati direttamente dal router dell'isp a cui ti colleghi :)
> Voglio dire: i pacchetti che arrivano a te sono perfettamente
> leciti: se ti voglio pingare io perche' non dovrei poterlo fare?
> Il problema e' leggermente diverso: bisognerebbe filtrare tutti
> i pacchetti il cui ratio arriva a superare la cifra X al
> secondo, e questo e' molto molto impegnativo (perche' fatto per
> esempio su architetture ridondate con 2x622Mbit di banda impegna
> abbastanza anche il service processor dei nostri 12000).
Ok, ma se io sempre con iptables mi faccio un
iptables -A FORWARD -p icmp --icmp-type echo-request -m <limite> --limit
io decido la soglia per cui sotto rispondo, sopra ignoro, ergo il DoS non riesce
a svilupparsi e a intasarmi la rete...
|