Po kolei, po pierwsze zamarkuje kolejnosc, bo troche sie to
nieczytelne zrobilo kto i co...
 
>>iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST \
>>-m limit --limit 1/s -j ACCEPT
>>
>> Ta regolka mowi ze sposrod flag SYN,ACK,FIN,RST JEDYNA
>> ustawiona ma byc flaga RST, wowczas i tylko wowczas pakiet
>> pasuje.
>
> a to dobre miejsce na to zebys wytl/umaczyl/ co oznacza
> " ma byc ustawiona" i po co, bo do tej pory sadzil/em ze
> pakiety przychodza z ustawionymi flagami i na tej podstawie
> sa weryfikowane :) (trzymajmy sie tego przykl/adu)
>
 
Dobrze sadziles, przez sformulowanie "ma byc ustawiona" nie
chodzilo mi zeby regola ustawiala flage, tylko ze pakiet sposrod
wszystkich wymienionych flag ma ustawiona TYLKO flage RST. Czyli
trzymajac sie tego przykladu, pakiet NIE MA flagi SYN, pakiet NIE
MA flagi ACK, pakiet nie ma flagi FIN, pakiet MA flage RST.
 
>> Pozatym dobrze mowisz, ze 5 na sek (ustawiasz 1 sek, bursta
>> nie zmieniasz a jest on domsylnie 5) ale tylko przez 1 sek,
>> pozniej bedzie to 1/sek. I jeszcze jedno... nastepne pakiety
>> beda niszczone tylko i wylacznie wowczas gdy zniszczysz
>> je w nastepnej regole czy tez przez polityke domyslna
>> lancucha podstawowego,
>
> Domyslna jest oczywiscie na DROP wiec chyba bedzie ok
>
>> jesli jednak pomiedzy ta regola a koncem (czy inna kasujaca)
>> znajdzie sie inna pasujaca i akceptujaca regola, to one
>> przejda !!
>
> No tu nie rozumiem, przeciez podobno pierwsza napotkana
> regól/a jest brana pod uwage i zadna kolejna , wiec o co
> chodzi ? nie arzej
 
 
I tak i nie. Po pierwsze masz racje, pierwsza napotkana PASUJACA
regola jest brana pod uwage, ale rozwaz tez ze do powyzszej regoly
pasuja jedynie pakiety ktore:
 
- naleza do lancucha FORWARD
- naleza do protokolu tcp
- maja ustawiona flage RST, nie maja flag SYN,ACK,FIN
- jest to pierwszy pakiet tego typu od sekundy (albo pierwszy z 5
(burst) pierwszych w serii)
 
I wszystko to JEDNOCZESNIE, ale to chyba jasne. A wiec jesli
wyslesz 10 pakietow na sekunde to:
pierwsze 5 zalapie sie z racji pojemnosci burst (5), kolejne 5 nie
pasuje do regoly, a wiec jest sprawdzane przez iptables dalej, az
nie natrafia na PASUJACA regole, ta regola do tych pakietow (6-10)
NIE PASUJE !!!! bo nie sa to pierwsze z pakietow w danym czasie
(nie lapia sie na limit).
 
PS. By zrozumiec zasade limit, polecam poczytanie jednak howto, bo
tak w mailu i bez tych ciekawych ascii artow ktore tam sa, to mi
sie chyba nie chce tlumaczyc ;)
 
 
Received on Tue Nov 2 12:14:48 2004