Skydd mot synflood

Hej. Jag labbar lite i skolan, och försöker sätta upp en brandvägg med iptables i Ubuntu Server. Från en dator kör jag en synflood, som spoofar MAC-adresser och avsändar-IP. Med iptables har jag en regel i stil med:

iptables -A FORWARD –p tcp --syn -m limit --limit 5/second --limit-burst 8 -j ACCEPT

Jag har även syncookies aktiverade. Problemet är att, även om jag lyckas skydda klienten bakom brandväggen, så kommer jag ju inte åt någon tjänst utifrån så länge attacken pågår. Vad finns det för lösningar?

Jo då, jag har googlat, varit inne på den där sidan och snurrat också
Men, det står samma sak där som på alla andra sidor:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

vilket jag testat, utan resultat. Med iptables lyckas jag hålla brandväggen vid liv, men den kan ju inte skilja på ett "riktigt" SYN från de i attacken.

Absolut, jag förstår problemet, men det finns ju bland annat hårdvarubrandväggar som står emot sådana attacker. Är enda lösningen att ha bra prestanda och en rejäl internetpipa?

Grejen är den, att vi har testat attacken mot ett antal system i grundutförande, och den enda som står emot är Windows 2003 Server, som fortfarande klarar nya, riktiga, anslutningar under attacken. Eftersom det fungerar i Windows borde det ju rimligtvis fungera i *nix också?

Japp, just så kör jag. Men det tillåter ju som sagt bara anslutningar som skapats innan attacken påbörjat - alla nya SYN blockeras ju under attacken (eller försvinner i mängden när jag bara släpper igenom ett begränsat antal per sekund). Klurigt det här.

Det där låter ju som att det skulle kunna fungera i praktiken, tack för tipset. Får kika lite på vad det finns för motsvarigheter (om några) med iptables.