[FUGSPBR] divert (meio longo)

[Carlos Alberto]

> leia o man com *muita*, mas *muita* mesmo, atenção !!! como  
> está dito no final (BUGS) o man ainda está incompleto e  
> "generico" (muito superficial); mas tem tudo. Deveria constar  
> no BUGS: requer excelente conhecimento de TCP/IP, 
>  especialmente em ethernet "layer 2" (quem quiser filtrar por  
> MAC address;) 
>  
> O truque principal: entenda *exatamente* (repetindo para  
> enfatizar: *exatamente*) o que voce precisa !! 
>  
> Pelo pouco que voce descreveu do problema, me pareceu que voce  
> tem duas (ou várias) "redes" na mesma NIC e está querendo  
> fazer o NAT para uma rede acessar a outra (é isso? ou chutei  
> muito fora?). Se for esse o caso, ponha uma regra de NAT para  
> esses acessos "internos" e outra para os acessos "externos" 
>  
> Pode-se usar o NAT (divert) e o forward para fazer "mágicas" 
sim, voce tem razao quanto a pagina do man. 
a rede em si e simples, um bloco privado atras de um firewall ligado a um 
ip publico. 
o fato gerador da *noia e uma possibilidade de DoS via syn+ack, que ao 
bater no nat (como indicado em _muitas_ literaturas, faqs, manuais, etc, 
deve estar no topo da lista de regras)  faz com que ele chegue em niveis 
absurdos de utilizacao de cpu, tendo como consequencia a parada do 
servidor por excesso de processamento, mais ou menos assim: 
natd recebe pacote syn+ack, procura na tabela de traducao, nao 
encontra, passa a frente. como o numero de pacotes e extremamente alto, 
a utilizacao da cpu aumenta, o nat fica mais lento ao procurar por novos 
pacotes que estao chegando, e cria-se um circulo vicioso. 
o ataque parte de varios ip's diferentes, que mudam a cada 4 ou 5 minutos. 
 
a ideia para minimizar o impacto: 
 
1) criar uma regra para nat ver somente a saida 
2) fazer bloqueios e liberacoes em portas, etc... 
3) fechar o restante das portas (?) 
4) criar uma regra para nat ver entrada (teoricamente pacotes NATeados) 
5) fechar a interface 
 
to babando na maionese ? 
 
valeu !!