Цитата |
---|
что то похожее это ip personalisation к сожалению только для 2.4 ядер линукса. |
Что-то похожее для Linux, это следующие правила для Iptables, потому что задача состоит в урезании лишнего вида трафика, о чём и говорят правила на pf.
Боремся с XMAS-сканированием:
-A INPUT –p tcp –m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG –j DROP
Боремся с NULL-сканированием:
-A INPUT –p tcp –m tcp –-tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
Боремся с TCP connect() и SYN-cканом:
-A INPUT –p tcp –m tcp –-tcp-flags FIN,SYN FIN,SYN –j DROP
Боремся с FIN-сканированием:
-A INPUT –p tcp –m tcp –-tcp-flags FIN,ACK FIN-j DROP
Цитата |
---|
А вышеприведенное ничто иное как Код host ~ # sysctl net.ipv4.tcp_sack=0 net.ipv4.tcp_sack = 0 host ~ # sysctl net.ipv4.ip_default_ttl=128 net.ipv4.ip_default_ttl = 128 и все в таком духе. механизма внедрения в netfilter connection tracking (CONFIG_NF_CONNTRACK в ядре) с полным эффектом присутствия стека протокола чужой системы в этом нету.. |
Ну про этим вещи уже речь шла наверху. Было бы так, было бы как наверху