Исходное сообщение
"Выполнено портирование ipfw и dummynet для Linux" Отправлено Freebsdun, 24-Окт-10 23:24
>>tc хоть и умеет разные дисциплины обслуживания у шейпера - но работает только для исходящего >>трафика (не надо мне рассказывать о ingress фильтрах - которые делаются через задний проход). > Уважаемый _umka_, мне кажется вы че то напутали, шейпинг имеет смысл только > на исходящем трафике и безразници где это в фряшном dummynet или > линуксовый iproute. > Да да именно для вас tc входит в состав пакета iproute. Если машина - только роутер, и всё - то да. Но ipfw может защищать и регулировать саму машину. Например, на ваш сервер нападают DDOS-атакой TCP-SYN на 22й порт. Машина в трауре, и Вы даже ничего не можете с эти сделать, т.к. Ваши попытки попасть на 22й порт пропадают в туче аналогичных. шейпинг входящего дает нам решение: ipfw pipe 99 config delay 1000 queue 1 mask src-ip 0xFFFFFFFF buckets 1024 ipfw add 100 pipe 99 tcp from any to me 22 setup В результате до обработки доберется не более 1 TCP-SYN пакета от каждого атакующего в секунду, и чтобы завалить ваш сервер понадобится не один, а тысяча атакующих.