2008/6/2 Alexander Burnos
OpenBSD/pf/pfsync/carp - уже есть в конфигурации. Теперь бы хотелось это все заставить реагировать на аномалии и фильтровать их, как это умеет detector/guard в автоматическом режиме :)
ну detector/guard наверное потому и стоят денег, что умеют делать много чего в автоматическом режиме :-) это мне напоминает весьма похожую переписку здесь же несколько лет назад - "а посоветуйте коммутатор, чтобы делал то же, что и Catalyst, и чтобы не горел. Только чтобы был дешевле" :-) На самом деле надо просто подумать, от каких атак хочется защищаться. Я не очень хорошо представляю себе, как сейчас обстоят дела с инструментарием, но возможно, проблему на ~90% можно решить относительно дешево относительно простыми средствами: 1) отслеживать и обрывать half-opened TCP сессии непосредственно на файрволле (т.е. 3-way handshaking делает не конечное устройство, а сначала - файрволл, который потом передает это уже на конечное устройство) 2) UDP/ICMP - установить hard limit на пропускную полосу по принципу per-IP. IMHO разумное ограничение - ~0Kbps ICMP per IP-address (т.е. не запрещать полностью, но и практически не давать полосы) и 64-128Kbps UDP per IP-address. В идеале - ввести параметр границы параметра receive/send (что типа 0.1 - 10, точных цифр я не знаю), при выходе за которые фильтровать трафик нафик. Я думаю, что если задачу свести к таким требованиям, то соответственно требования к оборудованию тоже существенно упрощаются. -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message