ロードバランシングにはDNATが必要で、SYNフラッディングを軽減するためにSYNPROXYが必要なアプリケーションがあります。 SYNPROXYがない場合は、円形DNATをPREROUTINGフックのNATチェーンに入れます。ただし、SYNPROXYを追加すると、ダウンストリームサーバーとの最初の偽装通信がOUTPUTパスを介して(正しく理解されている場合)、この問題が複雑に見えます。私が読んだ提案によると、DNATはNATチェーンのOUTPUTフックに移動する必要がありますが、奇妙に見えます。最初のSYN、SYN-ACK、ACKの後、パケットはどのようにnetfilterを通過しますか?この方法では、後続のパケットが正しく NAT されるように PREROUTING CONNTRACK を更新しますか?これは実行可能なソリューションですか?
NFTABLESにおけるDNATとSYNPROXYの結合
関連情報
- Centos 7 -->他のユーザーの失敗した権限の変更を記録しますか?
- 排他的なオペレーティングシステムがプリインストールされていないコンピュータを販売している会社? [閉鎖]
- udev uaccessと隠し
- POSIXシェルで文字を繰り返す方法の説明が必要です。
- マルチホームホストのWOL
- RHELからJavaを完全に削除する方法は?
- パケットがカーネルを通過する方法
- 他の列のデータに基づいて列を操作するためのawk / sedフィルタの例
- 以前の32ビットPCにLinuxをインストールしようとすると、点滅しているカーソルが付いた黒い画面が表示されます。どうすれば修正できますか?
- 繰り返しパターンのすべての行をキャプチャし、子の結果に対していくつかのアクションを実行する方法