← All posts tagged iptables

conntrack выборочно включен
(через:
-t raw -A INPUT -s to_chto_nado -j ACCEPT
-t raw -A INPUT -j NOTRACK),
очереди прерываний настроены и прибиты к ядрам (чтобы не прыгали), RSS настроен, ring buffer-ы настрое Не выборочно эт ерунда. Если не нужен statefull firewall или nat лучше его вообще выключить +30% к производительности

aur/xtables-addons — шикарная вещь, идейный продолжатель patch-o-matic, набор модулей для iptebles позволающий делать таки вещи как:
DELUDE отправляет ответ SYN-ACK на SYN, но RST на все остальные. Таким образом, сканер атакующей машины при SYN-сканировании показывает, что целевой порт открыт, в то время как на самом деле порт закрыт.
CHAOS создает запутывающий эффект для входящих соединений. Он рандомно может отвечать на соединения как REJECT и TARPIT или как REJECT и DELUDE.
ECHO отправляет назад все полученные пакеты :)
IPMARK позволяет помечать пакеты на основе их ip-адреса.
STEAL действует как DROP, но не вызывает ошибок, свойственных DROP в цепочке OUTPUT.
SYSRQ при попадании пакета в цепочку вызывает сигнал sysrq. Это полезно, если на машине, доступной только по сети, повисли жизненно важные части системы. И, конечно, в xtables для этого правила предусмотрена специальная защита по mac/ip или по паролю.
TEE клонирует пакет и перенаправляет его клон на другую машину сегмента локальной сети.
и многое другое
арчеводы голосуем для попадание в community