On Tue, Oct 17, 2006 at 02:40:25PM +0400, Artem Chuprina wrote: > Matvey Gladkikh -> Artem Chuprina @ Mon, 16 Oct 2006 23:25:07 +0400: > > >> По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в > >> ряд дистрибутивов вкручивают мейнтейнеры. У меня этих задач слишком > > MG> Господин Артем Барщевский, мы играем в рамках правил :) > MG> патчи не принимаются. особенно в критический момент и с > MG> "works for me". > > А на табличке голосом Куковлева написано: "ТЫ НЕВНИМАТЕЛЕН". Если > "вкручивают мейнтейнеры", то в дистрибутиве оно уже есть, и пересобирать > ничего не надо.
дебиан / fedora / rhel как я вижу не вкручивают iplimit. низачот. # uname -a Linux rhel 2.4.21-15.EL #1 Thu Apr 22 00:27:41 EDT 2004 i686 i686 i386 GNU/Linux cat /etc/redhat-release Red Hat Enterprise Linux AS release 3 (Taroon Update 2) # modprobe iplimit modprobe: Can't locate module iplimit Linux debian 2.6.17-2-vserver-686 #1 SMP Wed Sep 13 18:41:34 UTC 2006 i686 GNU/Linux ~# cat /etc/debian_version testing/unstable ~# modprobe iplimit FATAL: Module iplimit not found. и т.д. > > >> задачи не стоит, поэтому читать я читал, но не более того. По п. 1 для > >> начала нехило бы рассказать, что это за проверка, аналогичную которой > >> надо делать, почему не надо копать в сторону кук, а главное - что, > >> собственно, за задача решается - вполне возможно, тут она решается > >> другим способом. > > MG> tcp syn proxy проверка валидности (досягаемости начального узла / > MG> инструмент при проверке на спуф). > > Не понял... Насколько я представляю себе устройство современных NAT'ов, > если к тебе прилетел TCP SYN, единственное, как ты можешь проверить > досягаемость узла - это (вообще говоря, неоднократно) отправить обратно > SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP > чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем > отправить SYN+ACK может только тот сервис, который там висит - у > файрвола этот номер не пройдет. ууу как все запущено. вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк и после этого (случае успеха) установить сессию к сервису и сбросить ее в стейт. > > Регулярки - это кто? Регулярные выражения? угу. ладно не будем тут глаза таращить. Я вот из за чего все это начал - я как то 2 года назад изучал этот вопрос ip безопасности в линуксе "гуглением" и напарывался на вот такие вот рассылки в которых всякие уипаны давали бесполезные (как выяснилось) советы. Так вот я считаю - если человек не знает досконально как это работает - пусть молчит и не засе...ет авторитетную рассылку нерабочими рецептами аля "у меня получилось - попробуйте и вы". так вот если вы мегаавторитет по мотоциклам не надо пытаться давать советы по велосипедам даже если знаете что у обоих два колеса и цепная передача. у меня все. -- Matvey Gladkikh