sysctl net.inet.icmp.icmplim

Zbyněk Burget zburget at burgnet.cz
Sun Apr 19 11:57:04 CEST 2015

Previous message: Prosba
Next message: sysctl net.inet.icmp.icmplim
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Zdravím,
v poslední době mám na routeru plné logy hlášek typu

+Limiting icmp unreach response from 252 to 200 packets/sec
+Limiting icmp ping response from 211 to 200 packets/sec
+Limiting closed port RST response from 301 to 200 packets/sec

Dnes mě to přestalo bavit, tak jsem se v tom chvíli hrabal. Našel jsem sysctl viz subject a chvíli si s tím hrál.
Chtěl jsem se zeptat, jestli to máte někdo přenastaveno jinak, než je defalult 200 - mě totiž přijde 200/sec relativně už dost vysoká frekvence takového provozu. Když jsem ale limit snížil v rámci testování opravdu nízko, zjistil jsem, že unreach a RST packetů se odesílá trvale řádově desítky za sekundu. To mě celkem překvapilo. Předpokládal jsem, že ta sysctl má vliv jen na packety, které generuje kernel - tedy jedná se o reakce na provoz směrovaný přímo routeru (a tedy provoz, který by měl být víceméně vzácný, pokud se nejedná o útok). Takhle to ale na mě dělá dojem, že to limituje i packety, které skrz router prochází z vnitřní sítě. Jak to tedy prosím je?
A druhák - ten limit je globální (tedy neodešle celkově víc packetů, než je limit) nebo se jedná o limit per IP?

Díky,

-- 
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674

Previous message: Prosba
Next message: sysctl net.inet.icmp.icmplim
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list