|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Serge 2:5020/400 28 Apr 2004 07:43:04
To : Aleksey Barabanov
Subject : Re: iptables
--------------------------------------------------------------------------------
Когда часы показывали Mon, 26 Apr 2004 06:59:44 +0000 (UTC)
"Aleksey Barabanov", a.k.a. "AB",
писал(а) о "Re: iptables":
AnteScript: заранее извиняюсь за объёмное (и, быть может, ненужное)
цитирование.
AB> Serge wrote:
>> И чем это повлияет на снижение входящего траффика?
>> Апача, стоящяя в качестве прокси, будет давать какие-то другие
>> ответы на входящие запросы? Squid как-то иначе будет ругаться?
AB> Hачинаем думать.
AB> 1. Червь проверяет - iis
AB> 2. Hачинает атаковать - нет хоста.
AB> 3. Переходит к первому пункту.
(1)
>> Это уменьшит _нагрузку_ на сервер, но никак не снизит входящий
>> туда траффик...
AB> Это позволит сделать iis закрытым по всем своим "национальным"
AB> особенностям и непохожим на iis.
(2)
>> iis, кстати, сам умеет неплохо запросы и ответы кешировать.
AB> Если вы посмотрите в начало треда, то поймете, что именно тому что
AB> стоит iis весь траффик и обязан.
Смотрю :)
Про вирус упоминания как-то не было, а про шаловливые ручки
парноконечностного - было:
----
...
SO> Раньше мне казалось, что с помощью iptables можно фильтровать не
SO> только по заголовку tcp пакета, но и по его содержимому, возможно с
SO> помощью внешней программы (почему-то вспоминается слово USER), а в
SO> доках ничего близкого не нашел... Подскажите, не дайте пропасть под
SO> гнётом хакеров. :)
...
SO> Есть роутер на линуксе - firewall, маскарад и т.п., есть web сервер
SO> под win (увы необсуждаемо), на него редиректятся все конекты на 80
SO> порт роутера. С некоторых пор на него идут куча запросов типа
SO> "SEARCH /AAAAAA.......dfgd"
SO> килобайт по 20, сервер отвечает как и положено "invalid request".
SO> Hа производительности это никак не сказывается, сказывается только
SO> на объёме входящего трафика - он платный. Получается, что вебсервер
SO> получает трафика больше, чем сам отдаёт раз в 15-20. Пока хочется
SO> на входящий пакет, содержащий "SEARCH /AAA.." с помощью iptables
SO> говорить что-нибудь вроде
SO> "-j REJECT --reject-with icmp-host-unreachable"...
...
----
Один из эффективных вариантов уже был высказан.
пп. (1) и (2) естественным образом отпадут.
кроме того, при блокировании на достаточно большой промежуток времени
траффик, опять же, естественно упадет. Чего же еще надобно?
Установка apache многого не даст - ибо меняем одно шило на другое мыло.
PS: философия, оно, конечно же, хорошо, вот только до практики ей, как
обычно, очень далеко. Посему - завязываем.
--- ifmail v.2.15dev5.3
* Origin: Member ID not found! (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
