Есть еще для iptables интересное расширение TARPIT - черная дыра, в
которую могут проваливаться пакеты, причем он не дает сброить
соединение. Поэтому та сторона вынуждена держать открытый сокет едва ли
20 минут (по уверениям разработчиков) и расходовать на него ресурсы. Сам
же TARPIT написан так, что не тратит ресурсы на "проглоченные пакеты".
Проблема может быть в том, что conntrack начнет отслеживать эти
соединения и он будет на них тратиться. Но вроде бы есть решение, как
поставить trapit до conntrack-а тогда можно этого избежать.
Ложь и провокация :-)
Не держит он 20 минут соединение. Это может быть только на особо тупых
компах. Windows XP Pro держало не больше 2-3-х минут.
