Правила форума Гаранты форума

Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек	Добавлена поддержка utf8mb4
24-апр	Telegram группа
10-апр	Обновление PHP
11-апр	Раздача читов

Создание, настройка и продвижение counter-strike 1.6 серверов > Прочее > Архив > Последние угрозы

112 страниц

« 13 14 15 ... 110 111 »

Последние угрозы

, https://c-s.net.ua/forum/topic37395.html

coolman	8.12.2010, 20:19 Сообщение #261
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(330863 @ 8.12.2010, 17:22) iptables -A INPUT -m string --string "HLBrute" --algo kmp -j DROP А на установленное соединение или можно на новые так сделать? От перебора пароля помогает я правильно понял? тоесть вот так сканает?: iptables -A INPUT -p udp -m multiport --dport 26000:30000 -m conntrack --ctstate NEW -m string --algo kmp --string "HLBrute" -j DROP
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	9.12.2010, 8:32 Сообщение #262
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	coolman, ставиш ето правило выше всех ,и поможет ,хотя некто не мешает сделать своё :)
	Поблагодарили 0 раз Поблагодарили 0 раз

lexikon	9.12.2010, 9:23 Сообщение #263
Стаж: 17 лет Сообщений: 35 Благодарностей: 27 Полезность: 543	я думаю есть еще какие то правила для iptables от флуд атак каких нить? может кто поделится Мне кажется угроза от hlds не только от брута может быть Спасибки за правило парни.. млин...правило на дебе не пашет (( не могу понять почему Отредактировал: lexikon, - 9.12.2010, 9:38
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	9.12.2010, 13:14 Сообщение #264
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	lexikon, мм ,попробуй ето правило сунуть первой ,поправи конфиг iptables так чтобы ето правило было первым ,я лично сунул ето первым ,так у меня сразу пропали ети бруты :)
	Поблагодарили 0 раз Поблагодарили 0 раз

lexikon	9.12.2010, 20:24 Сообщение #265
Стаж: 17 лет Сообщений: 35 Благодарностей: 27 Полезность: 543	да как токо не пробовал млин не пашет и все делаю в вебмине...первые правила такие: Цитата Принимать (ACCEPT) Если входящий интерфейс не eth0 Принимать (ACCEPT) Если протокол TCP и флаги TCP ACK (из ACK) установлены Принимать (ACCEPT) Если состояние соединения ESTABLISHED Принимать (ACCEPT) Если состояние соединения RELATED Принимать (ACCEPT) Если протокол ICMP и тип ICMP echo-reply Принимать (ACCEPT) Если протокол ICMP и тип ICMP destination-unreachable Принимать (ACCEPT) Если протокол ICMP и тип ICMP source-quench Принимать (ACCEPT) Если протокол ICMP и тип ICMP time-exceeded Принимать (ACCEPT) Если протокол ICMP и тип ICMP parameter-problem Для цепочки INPUT действие по умолчанию DROP
	Поблагодарили 0 раз Поблагодарили 0 раз

coolman	9.12.2010, 21:19 Сообщение #266
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(330863 @ 9.12.2010, 11:32) coolman, ставиш ето правило выше всех ,и поможет ,хотя некто не мешает сделать своё :) это твое или это мое? Либо оно будет абсолютно все пакеты проверить, либо только новые,(от этого все зависит и нагрузка и отклик так то) вот у меня в чем вопрос, у куда поставить я уж соброжу, не первый день с iptables знаком Цитата(lexikon @ 9.12.2010, 12:23) млин...правило на дебе не пашет (( не могу понять почему у меня юбунту, почти дебиан :) Все что я пишу, должно работать :) Цитата(lexikon @ 9.12.2010, 12:23) я думаю есть еще какие то правила для iptables от флуд атак каких нить? может кто поделится самое простое: iptables -A OUTPUT -p tcp -m multiport --dport 26000:30000 -j ACCEPT iptables -A OUTPUT -p udp -m multiport --dport 26000:30000 -j ACCEPT iptables -A OUTPUT -p udp -m multiport --sport 26000:30000 -m multiport --dport 1024:65535 -j ACCEPT iptables -A INPUT -s 188.40.40.201 -p udp -m multiport --dport 27015:27040 -m conntrack --ctstate NEW -j ACCEPT iptables -A INPUT -p udp -m multiport --dport 27015:27040 -m length --length 33:1420 -m conntrack --ctstate ESTABLISHED -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ACCEPT -j ACCEPT iptables -A INPUT -p udp -m multiport --dport 27015:27040 -m length --length 51:53 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 1/sec --hashlimit-burst 3 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT iptables -A INPUT -p udp -m multiport --dport 27015:27040 -j DROP остальные правила для кс выкини нафиг, с такими правилами у меня кс сервер бывает по несколько суток не падает, ну и нагрузки во время доса соответственно нету :), потратил некоторое время, что бы подобрать подобные настройки, и как говориться проверены временем :) iptables желательно обновить, у меня стоит iptables 1.4.10 Отредактировал: coolman, - 9.12.2010, 21:26
	Поблагодарили 0 раз Поблагодарили 0 раз

lexikon	9.12.2010, 21:39 Сообщение #267
Стаж: 17 лет Сообщений: 35 Благодарностей: 27 Полезность: 543	не вижу в этом списке Цитата iptables -A INPUT -m string --string "HLBrute" --algo kmp -j DROP ((( Отредактировал: lexikon, - 9.12.2010, 21:40
	Поблагодарили 0 раз Поблагодарили 0 раз

coolman	10.12.2010, 8:55 Сообщение #268
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(lexikon @ 10.12.2010, 0:39) не вижу в этом списке ((( так я его и не использовал, собственно мы сейчас и говорим как его использовать, толи все пакеты проверять на наличие в них текста HLBrute или только новые, ставь в самое начало списка это правило :)
	Поблагодарили 0 раз Поблагодарили 0 раз

cs-portal	10.12.2010, 10:13 Сообщение #269
Стаж: 16 лет Сообщений: 8181 Благодарностей: 2709 Полезность: 0	мне больше ето нравится ) http://amx-x.ru/viewtopic.php?f=21&t=130 ит еще вопрос - если от бруты ищет стринг - так то почему нельзя искать не брут а отправляемый ркон то есть -string "rcon_password" против угона ркона. Отредактировал: cs-portal, - 10.12.2010, 10:31
	Поблагодарили 1 раз Поблагодарили 1 раз coolman

coolman	10.12.2010, 16:00 Сообщение #270
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(cs-portal @ 10.12.2010, 13:13) мне больше ето нравится ) http://amx-x.ru/viewtopic.php?f=21&t=130 ит еще вопрос - если от бруты ищет стринг - так то почему нельзя искать не брут а отправляемый ркон то есть -string "rcon_password" против угона ркона. кстати тема, только на выход его блочить, самое то против "плохих" плагинов, а на вход разрешать только с нужных Ip,
	Поблагодарили 0 раз Поблагодарили 0 раз

lexikon	10.12.2010, 20:18 Сообщение #271
Стаж: 17 лет Сообщений: 35 Благодарностей: 27 Полезность: 543	ооо вот это да! 100% лучше чем проверять строку HLBrute))) накалякай правило coolman
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	10.12.2010, 21:07 Сообщение #272
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	lexikon, ну а если подумать ,то использование рконом будет вобше невозможным =\ ,как тогда использовать сервер если нужно именно делать чтото через ркон ?)))
	Поблагодарили 0 раз Поблагодарили 0 раз

coolman	10.12.2010, 21:26 Сообщение #273
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(lexikon @ 10.12.2010, 23:18) ооо вот это да! 100% лучше чем проверять строку HLBrute))) накалякай правило coolman iptables -A INPUT ! -s сюда твой ip -p udp -m multiport --dport 26000:30000 -m string --algo kmp --string "rcon_parol" -j DROP примерно так: iptables -A INPUT ! -s 88.88.99.99 -p udp -m multiport --dport 26000:30000 -m string --algo kmp --string "dfsdkrj78954" -j DROP естественно в самый верх Цитата(330863 @ 11.12.2010, 0:07) lexikon, ну а если подумать ,то использование рконом будет вобше невозможным =\ ,как тогда использовать сервер если нужно именно делать чтото через ркон ?))) я уже написал что делать, сделать исключения для своего ип, я в локалке например сижу за своими серверами, так что у меня на выход и на вход с внешнего интерфейса ркон пароль блочится сейчас :)
	Поблагодарили 1 раз Поблагодарили 1 раз bravo

lexikon	10.12.2010, 22:05 Сообщение #274
Стаж: 17 лет Сообщений: 35 Благодарностей: 27 Полезность: 543	Цитата iptables -A INPUT ! -s 88.88.99.99 -p udp -m multiport --dport 26000:30000 -m string --algo kmp --string "dfsdkrj78954" -j DROP ты блочишь типо именно свой ркон? ну как бы здесь это dfsdkrj78954 а с опр ip разрешаешь этот ркон получается... какая строка должна быть выше ?)) не пойму по сути строка разрешащая ркон с опр IP должна быть выше, чем та которая блочит её для остальных
	Поблагодарили 0 раз Поблагодарили 0 раз

S.R.	10.12.2010, 22:35 Сообщение #275
Стаж: 17 лет Сообщений: 24 Благодарностей: 3 Полезность: 96	А под вендой че делать ?
	Поблагодарили 0 раз Поблагодарили 0 раз

coolman	11.12.2010, 7:32 Сообщение #276
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(lexikon @ 11.12.2010, 1:05) ты блочишь типо именно свой ркон? ну как бы здесь это dfsdkrj78954 а с опр ip разрешаешь этот ркон получается... какая строка должна быть выше ?)) не пойму по сути строка разрешащая ркон с опр IP должна быть выше, чем та которая блочит её для остальных бл*, все в одной строке и блочишь и разрешаешь, ставь выше всех правил для кс и все. :biggrin: Цитата(S.R. @ 11.12.2010, 1:35) А под вендой че делать ? под винду наверное: http://wipfw.sourceforge.net/index-ru.html но ни когда не юзал, ни чего сказать не могу.
	Поблагодарили 0 раз Поблагодарили 0 раз

lexikon	11.12.2010, 11:30 Сообщение #277
Стаж: 17 лет Сообщений: 35 Благодарностей: 27 Полезность: 543	а если несколько IP а --ctstate и --state разные вещи ? у некоторых не отображается инфа о игроках как понимать? в стиме пишет "Сервер не отвечает" когда открываешь информацию о сервере Цитата # RCON -A INPUT -p udp -m udp -m conntrack -m string ! -s IP -j DROP --ctstate NEW --algo kmp --string "rcon" # HLBrute -A INPUT -p udp -m udp -m conntrack -m string -j DROP --ctstate NEW --algo kmp --string "HLBrute" # HLDS1 -A INPUT -p udp -m udp -m length -m conntrack -m hashlimit --dport 27001:27030 -j ACCEPT --ctstate ESTABLISHED --length 33:1420 --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ACCEPT # HLDS2 -A INPUT -p udp -m udp -m length -m conntrack -m hashlimit --dport 27001:27030 -j ACCEPT --ctstate NEW --length 51:53 --hashlimit-upto 1/sec --hashlimit-burst 3 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new # HLDS3 -A INPUT -p udp -m udp --dport 27001:27030 -j DROP все мои правила относительно серверов не пойму что не так инфу о сервере не кажет..только с сервера если под вайном запустить стим... ркон пашет с любого ip Отредактировал: lexikon, - 11.12.2010, 12:42
	Поблагодарили 0 раз Поблагодарили 0 раз

coolman	11.12.2010, 14:15 Сообщение #278
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(lexikon @ 11.12.2010, 14:30) а если несколько IP а --ctstate и --state разные вещи ? у некоторых не отображается инфа о игроках как понимать? в стиме пишет "Сервер не отвечает" когда открываешь информацию о сервере все мои правила относительно серверов не пойму что не так инфу о сервере не кажет..только с сервера если под вайном запустить стим... ркон пашет с любого ip если несколько пиши несколько с которых не блокировать ркон, я не проверял работает блокировка по ркон или нет , у меня и без этих правил ни кто его не тырил, так сделал на всяк пожарный, лично у меня все работает, у тебя либо выше есть разрешающее правило либо хз.
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	12.12.2010, 22:50 Сообщение #279
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	насколько я помню правила читаются снизу вверх, но запись цепочек и связей между ними (например новая цепочка, указанная как цель в любой другой цепочке, уже должна существовать и описана где то выше, а заполнять её там же где описали или где то потом ниже, это уже не важно). вообще следуя из этого, сначала идут все разрешения а потом дроп. что бы не париться с этим, есть 100% вариант - устанавливать политику цепочки по умолчанию заранее. например если установили в инпуте дропать всё, то просто даёте набор эксептов с нужными параметрами и всё. я бы вообще советовал всякого рода проверки и обработки пакетов засовывать в отдельные цепочки, что бы было легно их потом править.... у меня сейчас нет сервера, но если бы он был я бы сделал примерно следующие: "просто пример, наверное даже не рабочий" #!/bin/bash ipt=iptables WAN_IF="eth0" LO_IF="lo" LOOPBACK="127.0.0.0/8" PORT_WAN_IN_TCP="22,80" PORT_WAN_IN_UDP="27015" /sbin/modprobe ip_conntrack #(может быть ещё какие то модули для работы с конкретными состояниями соединений) $ipt -F $ipt -F INPUT $ipt -F FORWARD $ipt -F OUTPUT $ipt -F -t nat $ipt -F -t mangle $ipt -F -t filter $ipt -t nat -X $ipt -t mangle -X $ipt -t filter -X $ipt -P INPUT DROP $ipt -P OUTPUT DROP $ipt -P FORWARD DROP $ipt -N common-check $ipt -F common-check # Отбрасываем невалидные пакты $ipt -A common-check -m state --state INVALID -j DROP # дропает ошибочные пакеты не относящиеся к существующим соединениям $ipt -A common-check -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $ipt -A common-check -p tcp ! --syn -m state --state NEW -j DROP #дропаем пакеты помеченые как новый, но без флажка SYN $ipt -A common-check -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP $ipt -A common-check -p tcp --tcp-flags ALL ALL -j DROP $ipt -A common-check -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP $ipt -A common-check -p tcp --tcp-flags ALL NONE -j DROP $ipt -A common-check -p tcp --tcp-flags SYN,RST SYN,RST -j DROP $ipt -A common-check -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP $ipt -N statefull $ipt -F statefull $ipt -A statefull -m state --state ESTABLISHED,RELATED -j ACCEPT $ipt -N icmp_packets $ipt -F icmp_packets $ipt -A icmp_packets -p icmp --icmp-type 0 -j ACCEPT $ipt -A icmp_packets -p icmp --icmp-type 3 -j ACCEPT $ipt -A icmp_packets -p icmp --icmp-type 8 -j ACCEPT $ipt -A icmp_packets -p icmp --icmp-type 11 -j ACCEPT $ipt -N ssh_brute $ipt -F ssh_brute $ipt -A ssh_brute -m state --state NEW -m recent --set --name SSH -j ACCEPT #В этом правиле мы устанавливаем метку на SSH пакеты $ipt -A ssh_brute -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: " $ipt -A ssh_brute -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j REJECT $ipt -N in-wan $ipt -F in-wan $ipt -A in-wan -p tcp --dport ssh -j ssh_brute $ipt -A in-wan -p tcp -m multiport --sport $PORT_WAN_IN_TCP -j ACCEPT $ipt -A in-wan -p udp -m multiport --sport $PORT_WAN_IN_UDP -j ACCEPT $ipt -A INPUT -p tcp -j common-check $ipt -A INPUT -p icmp -j icmp_packets # Переправляем входящие по icmp $ipt -A INPUT -j statefull $ipt -A INPUT -i $WAN_IF -j in-wan # все входящие, что не отсеяли проверки $ipt -A INPUT -i $LO_IF -d $LOOPBACK -j ACCEPT # Трафик "петли" $ipt -A OUTPUT -j statefull $ipt -A OUTPUT -p icmp -j icmp_packets $ipt -A OUTPUT -p udp --dport 27010 -j ACCEPT
	Поблагодарили 0 раз Поблагодарили 0 раз

coolman	13.12.2010, 6:12 Сообщение #280
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(bravo @ 13.12.2010, 1:50) насколько я помню правила читаются снизу вверх всегда и везде сверху вниз, про цепочки верно написано, твои правила может и рабочие, но к защите кс ни в одном глазу :) Цитата(bravo @ 13.12.2010, 1:50) вообще следуя из этого, сначала идут все разрешения а потом дроп. а можно и дроп, а потом разрешение, если дроп не касается всех разрещающих. :biggrin: ну вы поняли :)
	Поблагодарили 0 раз Поблагодарили 0 раз

« Предыдущая тема · Архив · Следующая тема »

112 страниц

« 13 14 15 ... 110 111 »

Тема закрыта

Начать новую тему

0 пользователей и 1 гостей читают эту тему:

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Сообщить другу · Версия для печати

Powered By Invision Power Board © 2005-2026
Counter Strike Support Community