Vlákno názorů k článku
Chyba zabezpečení TCP v linuxovém kernelu od MaKr - Pomůže před takovými pakety firewall na daném stroji...

Pomůže před takovými pakety firewall na daném stroji (iptables), nebo je paket zpracován a systém vyčerpán ještě před filtrací iptably?

Díky za odpovědi. Ne myslel jsem skutečně zahazovat pakety jdoucí na tcp port, což způsobí samozřejmě nedostupnost služby na daném portu tímto chováním firewallu. Až později jsem se dočetl, že je třeba mít navázané a potvrzované (ack) spojení a nejedná se tedy jen o čistě příchozí lavinu paketů. Tím se dá předpokládat, že zpracování pomocí iptablů je "předtím" a pokud bude paket v iptablech zahozen, tak nemůže způsobit vyčerpání zdrojů v tcp stacku který je dál. Od 24.7 jsme totiž měli podivné chování několika strojů, tak jsem hledal souvislost s tímto, to se však nepotvrdilo.

Match pravidlo INVALID si nejsem jestli na to zafunguje, to posuzuje jen porty/ip které musí být ok a pak odhaduji jen ACK,RST,SYN příznaky. Samozřejmě je rozumné zahazovat nesmyslné pakety a nepouštět je dál.