From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-Id: <200101100859.f0A8xIG41144@www2.mailru.com> From: Roman S To: mandrake-russian@linuxteam.iplabs.ru MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit X-Mailer: Free WebMail HotBOX.ru X-Proxy-IP: [194.84.146.9] X-Originating-IP: [172.16.1.101] Subject: Re: [mdk-re] Re: [mdk-re] Re: [mdk-re] Безопасность Sender: mandrake-russian-admin@linuxteam.iplabs.ru Errors-To: mandrake-russian-admin@linuxteam.iplabs.ru X-BeenThere: mandrake-russian@linuxteam.iplabs.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@linuxteam.iplabs.ru List-Help: List-Post: List-Subscribe: , List-Id: Mandrake/RE discussion list List-Unsubscribe: , List-Archive: Date: Wed Jan 10 11:51:00 2001 X-Original-Date: Wed, 10 Jan 2001 11:59:18 +0300 (MSK) Archived-At: List-Archive: Цитирую "Dmitry V. Levin" : > На самом деле принято делать так: > # Enables source route verification > net.ipv4.conf.default.rp_filter = 1 > net.ipv4.conf.all.rp_filter = 1 Спасибо. Так действительно лучше и красивее. Вот что бывает, когда знаешь, чего надо, но не знаешь, как именно. > Если Вы используете REJECT - рано или поздно получите DoS. Не думаю. Я сижу за маскарадом, пропускная способность сети заведомо шире калитки в интернет, к тому же физиономии всех, кто может устроить безобразие внутри сети находятся во вполне оффлайновой досягаемости (не более 15 минут за рулём). Вероятность DDoS стремится к нулю, к тому же это не сервер. Устраивать же DENY для лиц, случайно ткнувшихся в мой станок немножко неприлично... Идеальным мне представлялся бы вариант, если бы висел какой-либо монитор и при превышении кол-ва попыток отсыла REJECT, динамически переводил бы правило в DENY. Кстати, нет ничего такого? Я с ходу что-то не нашел, а сомому делать особо некогда. Rgds! Roman Savelyev