请教点网络问题

aborigen · 发表于 2004-1-13 20:54:08

最初由 Glue 发表
都说了，这是更狠的。
理论上来说，这个效率高。

狠...跟效率....

理论上为什么用sysctl控制效率更高呢？

大侠解释一下啊

Glue · 发表于 2004-1-13 21:28:02

我只是就事论事，并没有仔细研究 sysctl 和 iptables 之间的效率问题。
我说的方法 (sysctl) 是DROP所有的icmp数据包，---所以说狠 :p
而用 iptables 的方法至少多了一步判断数据包类型。

下面是允许ping又可以防止冲击波的iptables设置（我也没有试过）
#ping flood protection
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP

aborigen · 发表于 2004-1-14 09:33:42

从数据包的flow过程来看，倒是iptables在前。
内核也需要判断ip包的类型（是否icmp请求）才能忽略。

Snoopy · 发表于 2004-1-27 01:30:10

iptables -A INPUT -p icmp -j DROP

		自动登录	找回密码
密码			注册