1 |
Hi! |
2 |
|
3 |
On Thu, Jun 04, 2015 at 01:39:57PM +0600, Andrew A. Sabitov wrote: |
4 |
> Коллеги, кто может раскрыть секрет: что, хотя бы в теории, может убивать |
5 |
> пакеты _до_ iptables??? |
6 |
|
7 |
Ядро, разумеется. Там тоже есть фильтры пакетов, например проверки source |
8 |
route работают в сложных конфигурациях… странновато. Я предпочитаю их |
9 |
отключать и реализовывать защиту от спуфинга ручками в iptables. |
10 |
|
11 |
При этом в hardened настройки ядра по умолчанию для source route |
12 |
изменились недавно (https://bugs.gentoo.org/show_bug.cgi?id=534132), |
13 |
поэтому я бы рекомендовал явно прописать в /etc/sysctl.conf: |
14 |
net.ipv4.conf.default.rp_filter = 0 |
15 |
net.ipv4.conf.all.rp_filter = 0 |
16 |
и перегрузиться (или выставить этот 0 ручками в /proc или через sysctl для |
17 |
всех интерфейсов плюс к default и all). |
18 |
|
19 |
-- |
20 |
WBR, Alex. |