[freebsd] pf icmp max-src-conn-rate

[Mikhail Golub]

26.01.2018 11:54, Irina Liakh пишет:
> On Thu, Jan 25, 2018 at 09:57:38AM +0200, Mikhail Golub wrote:
>>
>> Подскажите, плиз, как лимитировать количество пингов в единицу времени?
>> С помощью pf не срабатывает :(
>>
>> pass in quick on $int_if proto icmp keep state (max-src-conn-rate 1/5,
>> overload <test> flush)
>>
>> Таблица пустая.
>>
>> P.S. Зачем это надо.
>> Для того, чтобы лимитировать "забытые" запущенные пинги с чужих хостов.
>> Заметил на одном из хостов, смотрящих в Интернет, пинги. И идут они
>> постоянно. Вопрос - зачем?
>> Или кто-то запустил и забыл, или мониторят доступность.
> 
> В каком смысле "лимитировать"? Средствами Вашего хоста Вы не можете
> запретить приходить пакетам, только можете не отвечать на них.

Речь идет об ICMP echo.
Например, пропустить пять пакетов за 10 секунд с одного хоста, а 
остальное - выполнить действие ... (поместить ip src в таблицу)

> sysctl net.inet.icmp.icmplim
Немного не то.
Хочется управляемого поведения и не для всех ... а только для сети Интернет.

P.S. Кстати, из-за чего написал вопрос - пинги на мой хост так и идут с 
другого хоста в сети Интернет.
Да, я могу его забанить в ручном режиме.
Но хочется чтобы автоматом - пришло, например, 10 пингов подряд - после 
11 поместить в таблицу ...