rvadmin wrote: >>> Я понял. Я просматривал ngrep и сам коннектился к сайту. Мои запросы - >>> были с ответами апача, а остальные - без. >>> Тогда как работает правило iptables? >>> Позволяет устанавливать логическое соединение, но игнорирует запросы? >>> >> Что значит "логическое соединение"? >> > То, что отличает TCP от UDP > через UDP пакет отправляется, и пофиг, дойдет он или нет > а TCP - сначала устанавливаю соединение - а потом отправляю пакет. Так ведь, при установке TCP-соединения пакет, содержащий запрос на соединение, тоже адресуется на 80-й порт. Стало быть, при срабатывании правила фаервола, режущего всё приходящее на 80-й порт, он тоже должен фильтроваться. У Вас в правиле вообще сказано, чтоб все пакеты с определенного ИП дропились независимо от порта назначения. Насколько я понимаю, пакеты, приходящие на сетевой интерфейс Вашего сервера, в любом случае поступают в обработку ядром. Другое дело, что они не доходят до процесса апача. Это дает возможность уменьшить трафик за счет исключения ответов апачем, но входящий трафик все равно будет. Вот вам и загрузка канала. Пусть меньшая, чем если бы апач отвечал, но она есть. У меня нет опыта борьбы с ddos-атаками, но мне кажется, что в вашем случае чуть ли не единственный выход - обратиться, как было сказано ранее, к провайдеру, чтоб он зарубил весь нежелательный для вас трафик.
-- ICQ UIN: 124692835 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
