Наши новости:

14-дек	Добавлена поддержка utf8mb4
24-апр	Telegram группа
10-апр	Обновление PHP
11-апр	Раздача читов

Создание, настройка и продвижение counter-strike 1.6 серверов > > Создание, настройка и продвижение counter-strike 1.6 серверов > Linux > iptables vs udp flood

4 страниц

1 2 3 »

iptables vs udp flood

Опции

нуб

12.3.2011, 9:51

Сообщение #1

Стаж: 16 лет

Сообщений: 1966
Благодарностей: 580
Полезность: 37

Собственно сабж. Подскажите правила для защиты.

Алсо от чего еще стоит защищаться? Ну такого неочевидного?)

!

Аккаунт пользователя заблокирован до: 26.8.2285, 9:17

FBS	12.3.2011, 11:07 Сообщение #2
Стаж: 19 лет Сообщений: 180 Благодарностей: 28 Полезность: 133	Кстати да, интересная тема, можно конечно поставить ограничение пакетов, но это ппц...
	Поблагодарили 0 раз Поблагодарили 0 раз

Serj	12.3.2011, 13:41 Сообщение #3
Стаж: 15 лет Сообщений: 855 Благодарностей: 266 Полезность: 198	Видел где-то правило на ограничение кол-ва поступающих пакетов с баном ип, которые флудят. Попробую найти, но одно но: сколько нужно ставить пакетов, чтобы не перебанило простых игроков?)
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	12.3.2011, 16:22 Сообщение #4
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	serejka, не меньше 101 ,а лучше ваше 300 ,тк от 300 пакетов в секунду сервак еле еле будет дёргаться ,и небудут забанены игроки
	Поблагодарили 0 раз Поблагодарили 0 раз

Serj	12.3.2011, 17:25 Сообщение #5
Стаж: 15 лет Сообщений: 855 Благодарностей: 266 Полезность: 198	Именно той статьи не нашел, но наткнулся на эту. Возможно, ее можно приспособить под 1.6 Еще хотелось бы узнать, как смотреть лог tcpdump? При вводе tcpdump в терминале там фиг что увидишь )) Отредактировал: serejka, - 12.3.2011, 17:28
	Поблагодарили 0 раз Поблагодарили 0 раз

balaban	12.3.2011, 20:46 Сообщение #6
Стаж: 18 лет Сообщений: 2131 Благодарностей: 1074 Полезность: 1160 MyArena.ru Меценат	Прикрепил часть хорошего учебника 6.pdf ( 214,54 килобайт ) Кол-во скачиваний: 130
	Поблагодарили 6 раз Поблагодарили 6 раз _Skyline, 330863, 3apuk, primm, x@kep, нуб

нуб

15.3.2011, 21:41

Сообщение #7

Стаж: 16 лет

Сообщений: 1966
Благодарностей: 580
Полезность: 37

Ну а кто цепочкаи то поделится?)

!

Аккаунт пользователя заблокирован до: 26.8.2285, 9:17

Serj	19.3.2011, 21:18 Сообщение #8
Стаж: 15 лет Сообщений: 855 Благодарностей: 266 Полезность: 198	Неужто никто не знает правила, с помощью которых можно ограничить кол-во пакетов, поступающих с одного ип на порт и бан того ип?
	Поблагодарили 0 раз Поблагодарили 0 раз

papapapa	19.3.2011, 21:51 Сообщение #9
Стаж: 16 лет Сообщений: 16 Благодарностей: 2 Полезность: 0	жадничают наверно,да там в принципе ничего сложного нет..завтра напишу себе правила,проканают или нет.. вот хорошая ссылочка всё подробно написано http://ru.wikipedia.org/wiki/Iptables а можно же одновременно использовать в правилах conlimit и hashlimit !? и клиент же использует одно соединение с сервером!? Отредактировал: papapapa, - 19.3.2011, 21:56
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	19.3.2011, 23:50 Сообщение #10
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	я для блокировка брутфорса шела использую следующие строчки Код $ipt -A in-wan -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH -j ACCEPT $ipt -A in-wan -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: " $ipt -A in-wan -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j REJECT соответственно 4 новых соединения за 1 минуту максимум можно... само собой эти правила для TCP ... т.к. UDP не имеет двусторонних соединений, но думается, что ничего не мешает убрать state и просто оставить метку... тока хз как это будет отражаться в нагрузке на систему ещё у меня есть такие вот строчки: Код $ipt -A cs_flood -p udp -m multiport --dport $CS_WAN_IN_UDP -m length --length 52 -m conntrack --ctstate NEW -j DROP $ipt -A cs_flood -p udp -m multiport --dport $CS_WAN_IN_UDP -m length --length 51:53 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 1/sec --hashlimit-burst 3 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT $ipt -A cs_flood -p udp -m multiport --dport $CS_WAN_IN_UDP -j DROP но это я не проверял. скорее всего не работает... у меня проверять негде, а вы при желание можете.
	Поблагодарили 0 раз Поблагодарили 0 раз

Serj	20.3.2011, 0:22 Сообщение #11
Стаж: 15 лет Сообщений: 855 Благодарностей: 266 Полезность: 198	Код $ipt -A in-wan -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH -j ACCEPT $ipt -A in-wan -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: " $ipt -A in-wan -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j REJECT А где тут указывается сам порт, который слушает ssh? Отредактировал: serejka, - 20.3.2011, 0:22
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	20.3.2011, 0:27 Сообщение #12
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	serejka, в параметре --dport есесна. iptables может не только по циферкам ориентироваться, но и по названию сервисов. вот там и написано "ssh"
	Поблагодарили 1 раз Поблагодарили 1 раз Serj

Serj	20.3.2011, 19:05 Сообщение #13
Стаж: 15 лет Сообщений: 855 Благодарностей: 266 Полезность: 198	Кстати, хотелось бы уточнить размер пакетов. 32 байта?
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	21.3.2011, 10:06 Сообщение #14
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	serejka, врятли кто то так помнит или знает... я когда собирал пакеты для анализа, даже не смотрел на размеры, только на состав. да и зачем это?
	Поблагодарили 0 раз Поблагодарили 0 раз

Serj	21.3.2011, 14:40 Сообщение #15
Стаж: 15 лет Сообщений: 855 Благодарностей: 266 Полезность: 198	Цитата(bravo @ 21.3.2011, 10:06) serejka, врятли кто то так помнит или знает... я когда собирал пакеты для анализа, даже не смотрел на размеры, только на состав. да и зачем это? Я не совсем точно задал вопрос. Мне нужен размер пакетов, которыми обменивается клиент с сервером. Можно же сделать, чтобы пакеты, размером, скажем, меньше 32 байт, просто дропались
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	21.3.2011, 19:46 Сообщение #16
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	serejka, не получится. размер пакета будет зависить от кол-ва передаваемых данных... и я не знаю, как там делятся данные на пакеты... может он компонует данные и то, что не влезло, в последний пакет, может отправиться в ещё одном, маленьком... по крайней мере так в tcp... читать не хочется.
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	21.3.2011, 21:05 Сообщение #17
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	bravo, от 30-40 до 1500 байт пакеты :)
	Поблагодарили 0 раз Поблагодарили 0 раз

Serj	21.3.2011, 21:15 Сообщение #18
Стаж: 15 лет Сообщений: 855 Благодарностей: 266 Полезность: 198	Цитата(330863 @ 21.3.2011, 21:05) bravo, от 30-40 до 1500 байт пакеты :) Ну а сколько посоветуешь в ограничение ставить. Пакеты, которые будут меньше, будут игнорится.
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	21.3.2011, 22:02 Сообщение #19
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	serejka, советую не заниматься этой мыслью... 330863, откуда ты знаешь, может у меня mtu уменьшенное за счёт pptp тунеля... да и вообще, 1460 байт слишком большой диапазон для подобного ответа.
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	22.3.2011, 8:16 Сообщение #20
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	bravo, при забитом серваке ,где большая карта ,и 32 игрока то размер пакета может дойти и до таких размеров (в моём случий на детране до таких доходит :) )
	Поблагодарили 0 раз Поблагодарили 0 раз

« Предыдущая тема · Linux · Следующая тема »

4 страниц

1 2 3 »

0 пользователей и 1 гостей читают эту тему:

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Сообщить другу · Версия для печати