LINUX.ORG.RU
ФорумAdmin

Супротив скана.


0

0

Вот тут где то пробегала строка с правилом для iptables что бы гасить скан от nmap'a и иже с ним. Вот только не могу вспомнит как тема называлась да и искать среди сотни ссылок гиморно, может кто подскажет её, только не бейте ногами, больно же :)

Заранее спасибо!!!

★★★★★

резать new-not-syn.

см. в tutorial

fagot ★★★★★
()

-j REJECT --reject-with icmp-port-unreachable

sasha999 ★★★★
()
Ответ на: комментарий от anonymous 

> этот PSD сильно замедляет работу?

когда в ядро начинают пихать всякое дерьмо, которого там быть
не должно... верно -- ждите глюков.

я бы вам посоветовал использовать scanlogd, snort, возможно
что-то еще, что анализирует их логи...

signal11
()
Ответ на: комментарий от signal11

>когда в ядро начинают пихать всякое дерьмо

ну не всякое дерьмо, а модуль для firewall... разницу чуете? :)
судя по вашей логике, firewall это дерьмо, которого в ядре быть не должно :)

Cosmicman ★★
()
Ответ на: комментарий от anonymous

>этот PSD сильно замедляет работу?

наш небольшой вебсервер держит в среднем 200 одновременных коннектов. нагрузка system cpu что с PSD, что без него - практически одинаковая...

Cosmicman ★★
()
Ответ на: комментарий от Cosmicman 

> ну не всякое дерьмо, а модуль для firewall... разницу чуете? :)

я то как раз чую... что элемент NIDS пихать в ядро -- херовое занятие..

> судя по вашей логике

не судите по моей логике. судите по своей.

signal11
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin