Використання ALTQ для управління небажаним трафіком

До цих пір ми фокусувалися на чергах, як спосіб дозволяє переконатися, що

конкретні види трафіку обробляються настільки ефективно, наскільки це можливо з урахуванням умов вашої мережевої середовища і поза нею Тепер ми розглянемо два

прикладу які представляють дещо інший підхід до виявлення та обробці

небажаного трафіку Ці приклади демонструють деякі трюки повязані з використанням черг, які можна використовувати створити оборону від зловмисників

Згадайте розділ Відбиваємося від громив (Стор 86), де ми використовували поєднання опцій відстеження станів і прегррузку правил для заповнення таблиці адрес

підлягають спеціальній обробці Спеціальна обробка яку ми розглядали

в розділі 6 складалася у відключенні всіх зєднань, проте, замість цього, існує можливість призначити трафік перевантаження на конкретні черги

Розглянемо правило з попередніх прикладів рапреденія смуги пропускання на основі класів:

pass log quick on $ext_if proto tcp to port ssh flags S/SA \ keep state queue (ssh_bulk, ssh_interactive)

Ми можемо додати опцію відстеження стану подібну наступною:

pass log quick on $ext_if proto tcp to port ssh flags S/SA \ keep state (max-src-conn 15, max-src-conn-rate 5/3, \

overload &ltbruteforce&gt flush global) queue (ssh_bulk, ssh_interactive) Тепер ми можемо трохи зменшити одну з черг: queue smallpipe bandwidth 1kb cbq

Потім призначимо трафік зловмисників на чергу з малою пропускною здатністю використовуючи наступні правила:

pass inet proto tcp from &ltbruteforce&gt to port $tcp_services queue smallpipe

Крім того, буде корисно доповнити ці правила таблицею закінчення записів, як було описано в розділі Чистка таблиць за допомогою pfctl на сторінці 89

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*