Да, connection-state в RAW отсутствует. Как вариант - проверять пакеты TCP SYN, начинающие новое TCP-соединение. С UDP - думать отдельно.
С другой стороны, если в RAW делать только drop, а всю логику оставить в том же forward - то там всё это будет. Таким образом, в RAW уничтожаются заведомо вредные пакеты, а уже нормальные и подозрительные идут в Connection Tracking для полноценной обработки.
dst-limit и защита от DoS
-
- Сообщения: 3912
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск