iptables + cs 1.6

как разобраться с досом что бы не пострадали сервера cs?

Rassol2,

проше нету)

Я в этом не очень разбираюсь. Прописал это правило и теперь мой сайт на моем хостинге не открывается вообще теперь )))

долго думает и потом тайм аут. Прописал на машинке, которая является веб-сервером и маршрутизатором инет-локальная сеть.

А можно более конкретное правило для паблика? Что-то в инете полазил - везде разные ответы с комментариями, что так работать не будет (((

если я правильно понимаю работу iptables и аналогов данного софта, то он проверяет трафик, соответственно, даже если начать фильтровать трафик, то это будет разгружать канал связи, но при этом загружать процессор. если это так, то при сильной атаке проц просто будет забит на 100% и сервера так и так лягут. Нужна тачка перед тачкой с серверами для фильтрации трафика. В связи с этим не вижу смыла в вопросе. Если не прав, поправьте, узнаю что-то новое

эмм....я не думаю, что у вас стольки гигабитный инет, и что вас будут атаковать сотни и сотни людей одновременно, что CPU так нагрузиться....

STILL47DEATH,
это будет хорошо если у чела канал больше чем 100Мбит x)

Надыбал такое правило:


Оно для CSS, но думаю особой разницы нету.

ravenyd123,

Код

-A INPUT -p udp --dport 27016 -m hashlimit --hashlimit 200/s --hashlimit-burst 50 --hashlimit-mode srcip,srcport --hashlimit-name CS -j ACCEPT
-A INPUT -p udp --dport 27016 -j DROP

так лучше :)

Подобное правило можно использовать для защиты других серверов? Например веб-сервера ?

ravenyd123,
да можно

А можно подробнее что для чего ?.

устанавливает ограничения на количество отсылаемых пакетов каждым клиентом.

миша, давай по новой, всё херня :)
лучше так:
iptables -A INPUT -p udp -m conntrack --ctstate NEW -m length --length 51:53 -m hashlimit --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT
iptables -A INPUT -p udp -m conntrack --ctstate ESTABLISHED -m length --length 33:1390 -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ESTABL -j ACCEPT
iptables -A INPUT -p udp -j DROP

а вы бы не могли раскрыть суть переменной ? То есть как будет фильтроваться поток ?

coolman,
так тоже можно но зачем пропускать трафик через 3 цепочки если нам надо зашиту от флуда просто

давай рассуждать логически, если от флуда, тогда просто новые пакеты резать надо и все, а так как у тебя ведро на 50 картофанов, из которого не дыра, а прям вытяжка стоит на 200 картофанов, а если райты на 101, то надо ведро на 101 взять тогда уже :biggrin: и вытяжку поубавить :biggrin: а если кортофан гибрид размером с бочку, то в ведро он даже один не поместится, надо молотилку тогда ставить на входе по размерам 33:1390 :biggrin:

coolman,

почему ошибку команды пишет ??

Заранее благодарю за разъяснение

упс пропустил -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101
поправил ;)

нет, нельзя. эффективно нельзя. если это использовать при фильтрации пакетов tcp, КПД этого механизма стремится к 0.

что касательно защиты сервисов, работающих на tcp протоколе - разговаривать надо отдельно и много. там есть куда развернуться и с чем поиграться.

что касательно защиты сервисов, работающих на udp, то более или менее разумная защита только одна - это как раз чашка, о которой вы тут пишите. Процессор не пострадает от этого. Узким местом будет канал связи на некотором участке пути.


coolman, conntrack вообще для UDP ничего не делает! это так, к слову. этот модуль опирается на состояния соединений, флаги пакетов и другие параметры. их _просто нет_ в UPD. Т.е. там нет ) в UDP пакете есть только 4 поля: порт отправителя, получателя, длина пакета и данные.
Для фильтрации длины пакета лучше использовать

Диапазон конечно для контры выясните самостоятельно. я уже давно не занимаюсь КС и рыться в этом сейчас не хочется. Но помоему максимальный размер пакета который принимает сервер даже через конфиг кс можно указать.

вообще кто хочет научиться хорошо фильтровать пакетики, советую посмотреть на возможности модуля "u32". он трудноват для понимания, потому что маски фильтров в 16-тиричном формате.

ravenyd123, кстати для защиты веб сервера...
1. для тех, кто всё ещё использует апач для своих низменных целей, лучше поставить перед ним nginx или lighttp. Конекты будет принимать быстрый сервис и передавать уже большой неповоротливой фиговине ) это спасёт сервис от краха.
2. ещё следует вообще для всех проверять флаги принимаемых пакетов. если соединение новое, то по нему должны прийти только пакеты с флагами SYN и ACK. Всё остальное дропается. + чашка на количество соединений в интервал времени. заметьте, не пакетов, а соединений!
3. обязательно подправить параметры сетевой безопасности через sysctl. там можно многое настроить, что бы обезопасить себя и не писать громоздкие сложные правила.

что то в этом духе для начала. для активной защиты можно ещё использовать такие вещи, как TARPIT. Если досит кто то один, это будет очень действенно. Да даже если не один, но всё равно с каждого адреса по сотне пакетов в адрес сервиса, то тоже будет хорошо. всем достанется. может пользователи за машинами-зомби тоже задумаются из-за тормозов и забитых сокетов.