Új hozzászólás Aktív témák

• #8603 Shyciii veterán vargalex #8602

  Új Válasz 2022-10-26 09:28:32 #8603

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Shyciii

  veterán

  válasz vargalex #8602 üzenetére

  Most otthoni felhasználásról beszélünk ha jól sejtem. Az otthoni routerek 95%-ának a szoftvere mint egy ementáli sajt, ha a gyári firmware van rajta, és elvétve frissítik (kétlem hogy sokan OpenWRT-t raknak fel a gyári helyett mezei usereknél), és a feldolgozási sebessége is egyenlő a nullával. Legtöbbjük fele olyan gyors sincs, mint a mögötte levő számítógép. Szal én ezekben a home routerekben sosem bíztam, ha biztonságról van szó, és mást se bátorítok arra, hogy most akkor minden rendben van, mert router mögött van. Egyébként évente szoktak csinálni felmérést a home routerekről elég nagy mintavételezéssel, és katasztrófális a helyzet a biztonságuk terén.
  
  pkttype host limit rate 5/second

  ősszintén szólva passz. A pkttype -nek (packet) három értéke van: broadcast, unicast, multicast. Szal a host nem tom hogyan jön ki, és nem is találok utalást a reference-ben sem.
  Ráadásul utána ez van: reject with icmpx type admin-prohibited
  counter
  Ezt sem értem, hogy miért icmp admin-prohibited típussal utasítjuk vissza? Egyáltalán miért pazarlunk erőforrást arra, hogy aki épp floodol minket, és rossz esetben alig tudjuk feldolgozni, még külön küldözgetünk neki vissza ilyet és ezzel még mi is terheljük a saját gépünket/szerverünket? Miért nem dobjuk el simán?
  Arról nem is beszélve, hogy ez a szabály sima filter inputként van, vagyis a leglassabb feldolgozással bír. Az ilyet én ingress hookba raknám netdev alá. Ez már olyan alacsony szinten van, hogy jóval gyorsabb a feldolgozási sebessége, mint a filter inputé.

Új hozzászólás Aktív témák