PF e numero di connessioni al secondo

Matteo Riondato matteo a freebsd.org
Mar 29 Nov 2005 19:08:15 CET


On Tue, Nov 29, 2005 at 07:00:33PM +0100, Matteo Riondato wrote:
> C'e' anche  una simpatica cosina (attiva di default) che
> dice:"ok, mi stanno dossando o qualcosa del genere, continuo a passare
> solo i pacchetti facenti parti delle connessioni gia' iniziate e
> droppo gli altri senza neppure farli passare per il ruleset". Ne ha
> parlato McBride a EuroBSDCon, ma non ho il paper perche' non e' nei
> proceedings e non mi ricordo il nome della feature :(
> (sto cercando su google)

Si chiama "Input Queue Congestion Handling":
* Sotto attacco (d)DoS la CPU e' sovraccarica, la input queue si riempe,
la macchina non risponde piu'.
* Quando la input queue e' piena, smettiamo di valutare il ruleset e:
	1) fa passare solo i pacchetti stateful di connessioni iniziate
	2) droppa il resto incondizionatamente
* I pacchetti sarebbero stati droppati comunque
* La macchina continua ad essere responsiva

Secondo me la storia e' questa. Non chiedermi come si disabilita...

-- 
Matteo Riondato
FreeBSD Volunteer (http://freebsd.org)
G.U.F.I. Staff Member (http://www.gufi.org)
FreeSBIE Developer (http://www.freesbie.org)


Maggiori informazioni sulla lista esperti