iptables による Dos 対策の設定方法 : a My RSS 管理人ブログ秋口に調べた記録が出てきたので、認識確認も含めて公開しておきます。読者層も考えず、たまには技術系。なので興味の無い方はスルーの方向で。 #そして、間違いがあったら教えてください。。 iptables の --limit とか --limit-burst を使って Dos 対策っぽい設定をすることができるのですが、この数値の説明がまったくもって意味不明。何を読んでも結局「経験で値を決める」みたいなことになっていて、ぜんぜん役に立たない。 で、結局以下のような結論にたどり着きました。 --limit : パケットを通過させるのにこれだけ時間がかかるとして --limit-burst : これだけの長さのバッファ、つまり待ち行列を用意する 待ち行列からあふれると、パケットロス、つまり呼損とするわけです。きっと。 たとえば、 /sbin/iptables -A INPUT -p tcp --syn
