<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><font face="Arial">Привет,</font></p>
<p><font face="Arial">как по мне, это опасный путь. Киевстар никогда
не будет никому сообщать об изменениях, в том числе NAT pools,
потому жалобы или потеря трафика неизбежны.</font></p>
<ul>
<li><font face="Arial">ModSecurity</font></li>
<li><font face="Arial">Snort</font></li>
<li>TCP security<br>
</li>
<ul>
<li><font face="Arial">или SYNPROXY<br>
</font></li>
<li><font face="Arial">или ручные игрища с параметрами TCP:</font></li>
<ul>
<li><font face="Arial">tcp_synack_retries (default установлен
в 5, что означает около трёх минут до сброса half-opened
connection; если поставить 2 - будет 21 секунда)</font></li>
<li><font face="Arial">по той же причине уменьшить
tcp_syn_retries до, скажем, 3</font></li>
<li><font face="Arial">tcp_syncookies можно в таком случае
отключить, поскольку не существует единого мнения о его
полезности в условиях _отсутствия_ атаки (сброс TCP
Options в стартовом SYN)</font></li>
<li><font face="Arial">если отключаем syncookies, то надо
увеличить размер очереди для half-opened соединений
(комбинируется с агрессивными таймерами сброса таких
сессий) путем установки переменной tcp_max_syn_backlog до
минимум 1024, а вообще это устанавливается опытным путем</font></li>
<li><font face="Arial">tcp_keepalive_(time|probes|interval) ::
при текущих параметрах неживое (установленное ранее)
соединение будет сброшено через 130 минут (2 часа!). В
условиях, когда основной обмен - это HTTP, можно снизить
это время до 2-3 минут (максимальное время, в течение
которого клиент может ждать ответа от сервера - впрочем,
человек обломается смотреть на песочные часики намного
быстрее :-) ), т.е. time=75, probes=3, intvl=15</font></li>
<li><font face="Arial">в итоге, я ставил вот так,</font><font
face="Arial"> но так и не проверил работоспособность</font>
<pre wrap="">sysctl -p 11-network-security.conf
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_keepalive_time = 75
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 15</pre>
</li>
</ul>
</ul>
</ul>
<div class="moz-cite-prefix">Enjoy :)</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix">On 14.07.2021 19:09, VASYL MELNYK
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CAMPJU7B7kAm9vF8RRL+bfG-eTmrLv3ot6CpboayJveiQg8EmSg@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">Привет всем
<div><br>
</div>
<div>Может случаем кто знает список мобильных сетей киевстара?
надо ограничить диапазон желающих поломать апачу, а клиенты
все будут приходить с мобильных телефонов и условие - без
впн-а. Решили, что ограничить список сетей будет достаточно.</div>
<div><br>
</div>
<div>Вот теперь сижу и понимаю, что если не найду, то придется
ручками отлавливать</div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></pre>
</blockquote>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison</pre>
</body>
</html>