Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
Добавлена поддержка utf8mb4
24-апр
Telegram группа
10-апр
Обновление PHP
11-апр
Раздача читов

2 страниц V   1 2

CSS и iptables
Статус пользователя galaktiksu
сообщение 28.2.2012, 20:06
Сообщение #1
Стаж: 15 лет

Сообщений: 7
Благодарностей: 1
Полезность: 0

Здравствуйте,

Пользовался форумом нашел много тем по этому поводу, но так и не получил толком ответ.

Сейчас у меня стоит правило
Код
iptables -A INPUT -p udp -m udp --dport 27015:27020 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 27015:27020 -m state --state NEW -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name VALVE -j ACCEPT
iptables -A INPUT -p udp --dport 27015:27020 -j DROP


Но оно не помогает.
Вычитал на форуме такое правило:
Код
iptables -A INPUT -p udp -m conntrack --ctstate NEW -m length --length 256:65535 -m hashlimit --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT
iptables -A INPUT -p udp -m conntrack -m length --length 33:1390 -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ESTABL -j ACCEPT
iptables -A INPUT -p udp -j DROP


Но не понимаю его суть, вроде и портов нету и диапазон неизвестный.
Помогите пожалуйста с составлением правила. Прочитал много форумов, но везде точных ответов не дано.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   Цитировать сообщение
Статус пользователя galaktiksu
сообщение 28.2.2012, 22:16
Сообщение #2
Стаж: 15 лет

Сообщений: 7
Благодарностей: 1
Полезность: 0

Ещё составил вот такое правило:
Код
iptables -A INPUT -p udp --dport 27015:27050 -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name VALVE -j ACCEPT
iptables -A INPUT -p udp --dport 27015:27050 -j DROP
iptables -A INPUT -p udp --dport 27015:27050 -m length --length :28 -j DROP
iptables -A INPUT -p tcp --syn --dport 27015:27050 -j DROP -m connlimit --connlimit-above 1


Не знаю правильно ли это или нет. Буду благодарен за помощь!
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 29.2.2012, 7:04
Сообщение #3


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

galaktiksu,
Код
iptables -A INPUT -p udp -m udp --dport 27015 -m conntrack --ctstate NEW -m length --length 256:65535 -m hashlimit --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 27015 -m conntrack -m length --length 33:1390 -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ESTABL -j ACCEPT
iptables -A INPUT -p udp -j DROP
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя galaktiksu
сообщение 29.2.2012, 17:05
Сообщение #4
Стаж: 15 лет

Сообщений: 7
Благодарностей: 1
Полезность: 0

Цитата(330863 @ 29.2.2012, 7:04) *
galaktiksu,
Код
iptables -A INPUT -p udp -j DROP

Данная команда закроет все порты по udp, как я понимаю. Не затронет это ssh и другие сервисы ? Или можно просто написать так:

Код
iptables -A INPUT -p udp -m udp --dport 27015 -j DROP
?

Ещё такая ошибка
Код
iptables v1.4.10: conntrack: At least one option is required


И если не сложно, чем разница между вашим вариантом и моим последним ?
Извиняюсь, что спрашиваю возможно глупые вещи.

Отредактировал: galaktiksu, - 29.2.2012, 21:34
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Grape Fruit
сообщение 29.2.2012, 20:31
Сообщение #5


Стаж: 16 лет

Сообщений: 505
Благодарностей: 286
Полезность: 802

330863,
Это только под CSS или CS 1.6 покатит?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 29.2.2012, 22:26
Сообщение #6


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

galaktiksu,
Код
iptables -A INPUT -p udp -m udp --dport 27015 -m conntrack --ctstate NEW -m length --length 30:256 -m hashlimit --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 27015 -m length --length 30:1500 -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ESTABL -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 27015 -j DROP


alesned,
желательно увеличивать --hashlimit-upto 101/sec для ксс а так почему же и нет?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 2 раз
   + Цитировать сообщение
Статус пользователя galaktiksu
сообщение 29.2.2012, 22:41
Сообщение #7
Стаж: 15 лет

Сообщений: 7
Благодарностей: 1
Полезность: 0

Спасибо большое, посмотрим как будет на деле.

Отредактировал: galaktiksu, - 29.2.2012, 22:54
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя galaktiksu
сообщение 2.3.2012, 23:32
Сообщение #8
Стаж: 15 лет

Сообщений: 7
Благодарностей: 1
Полезность: 0

Говорят, что не помогает. Есть ещё варианты ?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 3.3.2012, 6:47
Сообщение #9


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

Цитата(galaktiksu @ 2.3.2012, 23:32) *
Говорят, что не помогает. Есть ещё варианты ?

а что вы ожидали от этого ? crazy.gif
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя galaktiksu
сообщение 3.3.2012, 11:03
Сообщение #10
Стаж: 15 лет

Сообщений: 7
Благодарностей: 1
Полезность: 0

Цитата(330863 @ 3.3.2012, 6:47) *
а что вы ожидали от этого ? crazy.gif


Нужно защититься от ддоса,доса
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 3.3.2012, 14:32
Сообщение #11


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

Цитата(galaktiksu @ 3.3.2012, 11:03) *
Нужно защититься от ддоса,доса

2 строчки нечего не значат, важна очередь правил iptables diablo.gif
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя galaktiksu
сообщение 3.3.2012, 14:50
Сообщение #12
Стаж: 15 лет

Сообщений: 7
Благодарностей: 1
Полезность: 0

Цитата(330863 @ 3.3.2012, 14:32) *
2 строчки нечего не значат, важна очередь правил iptables diablo.gif


Помогите пожалуйста составить правила для iptables, у меня сейчас в нем только ваши 3 строчки.
Готов дать "копейку" за хорошую помощь.

Отредактировал: galaktiksu, - 4.3.2012, 10:49
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя The_Razer
сообщение 12.3.2012, 12:05
Сообщение #13
Стаж: 18 лет

Сообщений: 297
Благодарностей: 48
Полезность: 34

Сейчас правда уже и не вспомню что для хлтв открыто, а что для контры :)

Цитата
2 строчки нечего не значат, важна очередь правил iptables diablo.gif

Не всегда пакет идёт только до первого подходящего правила.

Код
#!/bin/bash
#####DEFAULTPOLITICS#####
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
#########################

######ALLOWLOCAL#########
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#########################

#####ALLOWESTABLISHED####
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
########################

##########HLDS###########
iptables -A INPUT -p tcp --dport 27015 -m connlimit --connlimit-upto 5 -j ACCEPT
iptables -A INPUT -p tcp --dport 27005 -m connlimit --connlimit-upto 5 -j ACCEPT
iptables -A INPUT -p tcp --dport 27020 -m connlimit --connlimit-upto 5 -j ACCEPT
iptables -A INPUT -p tcp --dport 27040 -m connlimit --connlimit-upto 5 -j ACCEPT
iptables -A INPUT -p udp --dport 27015 -m connlimit --connlimit-upto 5 -j ACCEPT
iptables -A INPUT -p udp --dport 27005 -m connlimit --connlimit-upto 5 -j ACCEPT
iptables -A INPUT -p udp --dport 27020 -m connlimit --connlimit-upto 5 -j ACCEPT
iptables -A INPUT -p udp --dport 27040 -m connlimit --connlimit-upto 5 -j ACCEPT
#########################


Отредактировал: The_Razer, - 12.3.2012, 12:06
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя bravo
сообщение 24.3.2012, 10:57
Сообщение #14


Стаж: 19 лет

Сообщений: 2650
Благодарностей: 865
Полезность: 879

Меценат Меценат
The_Razer, а для чего у тебя и tcp разещены на порт сервера? там какой то сервис дополнительный висит аль на всяк случай?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Fire
сообщение 24.3.2012, 17:09
Сообщение #15


Иконка группы

Стаж: 17 лет

Сообщений: 2201
Благодарностей: 2227
Полезность: 963

Для udp - --connlimit-upto 5 это бесполезно.


Администрирование серверов. Защита от DDOS. Решение проблем.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 24.3.2012, 18:39
Сообщение #16


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

Fire,
почему же
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя The_Razer
сообщение 24.3.2012, 21:13
Сообщение #17
Стаж: 18 лет

Сообщений: 297
Благодарностей: 48
Полезность: 34

Цитата(bravo @ 24.3.2012, 12:57) *
The_Razer, а для чего у тебя и tcp разещены на порт сервера? там какой то сервис дополнительный висит аль на всяк случай?

Пару раз на грабли наступал, когда в документации неверно написано что-то было. С тех пор и то и то открываю.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя bravo
сообщение 24.3.2012, 23:45
Сообщение #18


Стаж: 19 лет

Сообщений: 2650
Благодарностей: 865
Полезность: 879

Меценат Меценат
The_Razer, ну хз, всем известно, что обмен идёт только по udp на игровом порту. есть там парочка для служб регистрации и т.п. но они на других портах. имхо лишнее.

330863, потому что udp не устанавливает сессию. ну т.е. нормальный клиент устанавливает, но она выглядит не так как tcp и полагаю что хрен она с ним работает. а флуд udp пакетами идёт без установки сессии даже формальной.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя 330863
сообщение 25.3.2012, 0:15
Сообщение #19


Стаж: 16 лет

Сообщений: 4358
Благодарностей: 1079
Полезность: 497

bravo,
тогда что скажешь про это ?
http://www.opennet.ru/docs/RUS/iptables/#UDPCONNECTIONS
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя bravo
сообщение 25.3.2012, 22:17
Сообщение #20


Стаж: 19 лет

Сообщений: 2650
Благодарностей: 865
Полезность: 879

Меценат Меценат
330863, если ты не только посмотрел на картинку, но ещё и текст прочитал, то как это разнится с моими словами? ну и посмотри на досуге как выглядит udp пакет сформированный CS... хоть первый, хоть не первый. удивишься и поймёшь почему valve взяла не самый лучший вариант обмена информацией. (хотя они его брали чёрти когда, тогда так можно было делать)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
« Предыдущая тема · Linux · Следующая тема »
 
2 страниц V   1 2
 		 Тема закрытаНачать новую тему
 
0 пользователей и 1 гостей читают эту тему:
Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный
Сообщить другу · Версия для печати

Powered By Invision Power Board  © 2005-2026 
Counter Strike Support Community