Marco Barbero ha scritto: > Mi chiedevo se era possibile ottenere un risultato analogo con > netfilter iptables, pensavo in particolare all'estensione 'recent', ma > ho qualche dubbio anche perche' se non erro iptables non effettua un > real stateful filtering...
E' da un bel pezzo che il filtering stateful di netfilter tiene in considerazione anche il window tracking; puoi anche "configurare" la cosa con la sysctl net.ipv4.netfilter.ip_conntrack_tcp_be_liberal che consente di considerare, se settata a 1, come INVALID solo i pacchetti tcp con flag RST, se out of window. CiĆ² premesso, dai un'occhiata a limit e ad hashlimit, oltre che alla citata recent.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
