Здравствуйте

Можно ли ограничить количество пересылаемых пакетов на порту?

Если клиент заразиться чемто досовско-флудным, то будет забивать общий канал и пригружать сервера. Для предотвращения этого думаю ограничить клиента в количестве пакетов. В аксес-листах не нашла ничего подходящего

Спасибо за идеи

1. С помошью ACL нельзя.
2. Вот если бы Вы указали модель коммутатора, то можно бы было даже что нибудь посоветовать.

увы нет, ACL на свичах до 36хх серии этого сделать нельзя раз я заговорил о серии 36хх могу только сказать что там можно вообще ограничить скорость потока от пользователя, но в В вашем случае я думаю это не совсем не то что нужно ... поэтому есть 2 варианта - за всеми свичами, перед серверами ставится:

1. дешевый вариант - писюк с FreeBSD в режиме бриджа и уже на нем не только ограничиваете кол-во пакетов но и можете организовать мониторинг проходящего траффика (тем же ntop) или даже, если оч. захочется, IDS на базе например snort
2. более дорогой вариант - покупка firewall-а от D-Link

P.S. небольшой оффтоп, но ... девушка в наших рядах - это чертовски приятно!

В приницпе можно попытаться даже на более младших сериях при помощи Per Flow Bandwidth Control. Но это получится не во всех случаях.

модель 3526

snark, спасибо. сервера по дороге не подходят. как и дополнительные железки.

Demin Ivan а когда не получится? и где про эту фичу можно почитать?

незачто ... в общем виде я предлагал использование чего нить в духе ipfw фичи "limit src-addr" в связке с тем или иным детектором флуда ...

да, это и надо. какойто штормконтрол или типа того. Но на свичах.
Можно такое?

На самом деле если клиент заболел вирем абсолютно пофиг где его ловить... мы на VPN циске успешно анализируя нетфлоу с интерфейса блокируем его на портах 3526 с помошью ACL.

вариант, да. но вдруг такая возможность есть на свичах. че мне циску нагружать?

А какая разница нетфлоу в один адрес сгружать или в два ?
один поток в билинг второй в анализатор

чтоб не нагружать циску лишним трафиком, а не нетфлоу
пакеты то бомбят циску, резались бы они на свичах.

для начала закройте ACL-ями гарантировано вирусные порты - этим уменьшите кол-во получаемого кошаком траффика, я например зарезал NetBIOS на как на портах так и в РРРоЕ сессиях, а еще лучше возьмите firewall с ф-цией Zone Defense будет Вам тотальное счастье в виде отключения флудящего порта прямо на свиче