Именно! Но питащия не пожела да сподели версията си.
За да се отърве от лимита на 256 сървъра (което при apache 2.0/2.2 използващи prefork(1) модела е равно и на реално максималния брой клиенти които уеб сървърът може да обслужи) той просто трябва да избере друг модел - за препоръчване е т.нар. worker(2) модел.
VladSun, това което ти се иска/струва не винаги отговаря на действителността. Поне прегледай icmp дефиницията в wikipedia преди тези писания. И да предложим да пренапишат icmp протокола да има само 1 съобщение за грешка а.
REJECT policy на веригите? мне! Ще счупите (или по скоро връщате грешни съобщения) icmp протокола. Защото ако имаш policy REJECT или -A INPUT -j REJECT на края на правилата си - по подразбиране ще върнете "port-unreachable" на всеки пакет стигнал до това правило или policy (а това едва ли ще отговаря на истината всеки път).
Не съм се интересувал дали това е официалния отговор на netfilter разработчиците но за мен е достатъчно условие.
По добре е "тихо" да DROP-нете пакета или пък да ползвате ACCEPT policy по подразбиране и да оставите icmp протокола сам да си свърши работата (надяваме се, че не сте го филтрирали и него, както някои знайни и не знайни герои).
VladSun, със този MIRROR target срещу "лошите" сещаш ли се как можеш да станеш на някой spoofer decoy-a? Също така срещу т.нар. syn flood атаки отдавна съществува /proc/sys/net/ipv4/tcp_syncookies
WPA (както ssh) предоставя authentication + encryption. Има два начина за authentication - PSK (всички клиенти получават само 1 passphrase, използва се за home and/or SOHO) и чрез authentication server, по този начин всеки потребител се аутентицира със своя собствена парола (най-често се използва RADIUS).