On сб, 17-бер-2012 17:07:52 +0200, Eugene Grosbein wrote:
Imho, вы всё делаете ровно наоборот. Увеличивать maxtcptw это работать на повышение эффективности атаки.
Почему? На сколько я понимаю, повышать лимиты по памяти можно на сколько позволяет сервер, а сервер позволяет.
При борьбе против DDoS первым делом надо менять statefull rules на stateless.
Да, столкнулся с этим сам. Это в процессе решения. Но для этого и сейчас с сотоянием - только те соединения, которые нужно rdr (без state здесь никак или я не прав?). Остальные проходят pass no state. Таблица стейтов пока не бывает очень большой, по наблюдениям.
Если речь идёт о SYN-flood, то ещё syncache неплохо бы отключить, перейти временно на одни syncookies.
Синкеш отключен (net.inet.tcp.syncookies_only=1)
Зачем нужен statefull firewall для TCP с его признаками setup/established, вообще непонятно.