Re: [obsdfr-misc] Passage de iptables à packet filter

["Pierre Riteau" <kineox AT gmail POINT com>]

On 9/28/07, Nicolas Letellier <nicolas AT nicoelro POINT net> wrote:
> Bonjour,
>
> Tout d'abord, merci à tous de vos réponses que j'ai lues attentivement.
>
> Pierre Riteau a écrit :
> > Si tu utilises 'keep state' (et c'est par defaut depuis la 4.1), pf
> > fait toutes les vérifications des états de la connexion TCP pour toi.
> > Pas besoin de t'en soucier.
> >
> Oui, je met des keep state pour toutes mes règles. C'est excellent si
> les vérifications des états de connecionx TCP sont fait :-)
> > Il me semble que ping of death n'a rien à voir avec un flood de requêtes ICMP.
> > Voir : http://fr.wikipedia.org/wiki/Ping_of_Death
> >
> Ah, d'accord... Merci de m'avoir éclairé en tout cas !
> > Tu as plusieurs solutions à ça :
> > - utiliser du max-src-conn-rate et drop si ça dépasse
> > - mettre tes paquets ICMP dans une file altq avec une priorité faible.
> > J'avais essayé ça et les connexions sur la machine restaient très
> > efficaces malgré un ping -f distant.
> >
> J'vais sûrement m'amuser avec le max-src-conn-rate :-) (surtout au vu
> des réponses sur une file ATLQ)

Lis mon email d'hier avant de perdre ton temps ;)