dst-limit и защита от DoS

Базовая функциональность RouterOS
Аватара пользователя
Chupaka
Сообщения: 990
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: dst-limit и защита от DoS

Сообщение Chupaka » 06 окт 2017, 09:43

Да, connection-state в RAW отсутствует. Как вариант - проверять пакеты TCP SYN, начинающие новое TCP-соединение. С UDP - думать отдельно.

С другой стороны, если в RAW делать только drop, а всю логику оставить в том же forward - то там всё это будет. Таким образом, в RAW уничтожаются заведомо вредные пакеты, а уже нормальные и подозрительные идут в Connection Tracking для полноценной обработки.

Ответить