1. Гость, мы просим Вас ознакомиться с Правилами Форума и Отказом от ответственности!

Любая версия Защита сервера (iptables)

Тема в разделе 'PW Документация', создана пользователем kostik21730, 26 янв 2015.

  1. TopicStarter Overlay

    kostik21730 Пользователи

    Сообщения:
    188
    Лайки:
    48
    Пол:
    Мужской
    Репутация:
    0
    Страна:
    Ukraine Ukraine
    Это не очередной гайд по созданию правил в iptables или пояснении что это вообще такое. Хотелось бы что бы каждый, кто в этой области хоть чу-чуть разбирается, поделился своей логикой защиты, покритиковал или похвалил наработки других админов.
    Я, пожалуй, начну:

    Код:
    iptables -N pw_check
    iptables -A pw_check -m recent --update --seconds 60 --hitcount 3 -j DROP
    iptables -A pw_check -m connlimit --connlimit-above 3 -j DROP
    iptables -A pw_check -m recent --set -j ACCEPT
    
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -p tcp --dport 29000 -j ACCEPT
    iptables -A INPUT -m state --state NEW -p tcp --dport 29000 -j pw_check
    
    iptables -P INPUT DROP
    Ну и на роутере закрыт прием udp пакетов.

    Что происходит?
    Отправляем все пакеты со статусом нового на проверку по цепочке pw_check и дропаем все соединения, превышающие максимум доступных за нужный промежуток времени (3 коннекта за 60 секунд) и превышающие допустимое кол-во одновременно открытых подключений (3).

    Логика?
    Не нужно игроку перезаходить на аккаунт более 3 раз в минуту и не нужно игроку более 3 окон (отбрасываем возможность прокси) одновременно. Так сказать ставим юзера в рамки, которые при хороших намерениях не страшны.

    Недостаток: можно открыть 3 сессии и по ним грузить сервер флудом
    Преимущество: школьники, которые все значения в флудерах ставят на максимум, сразу здадутся

    Пожалуйста, ваша критика. Не забывайте про аргументы:)
  2. SkyDev Программист Old school Пользователи Open Source Contributor

    Сообщения:
    197
    Лайки:
    234
    Пол:
    Мужской
    Репутация:
    -1
    Страна:
    Ukraine Ukraine
    iptables как средство защиты от ддос это смешно.
    Еще на l7 с богом по палам при ручном разборе, но явно не на l4.
    Идея с блокировкой удп трафика в принципе бессмысленна.
    salitypw нравится это.
  3. TopicStarter Overlay

    kostik21730 Пользователи

    Сообщения:
    188
    Лайки:
    48
    Пол:
    Мужской
    Репутация:
    0
    Страна:
    Ukraine Ukraine
    Предложи не смешное.
    Вторая строчка не понятна
    Про юдипи:
  4. salitypw Программист Пользователи

    Сообщения:
    673
    Лайки:
    458
    Пол:
    Мужской
    Репутация:
    8
    Команда:
    Easy Game Protection
    Страна:
    Japan Japan
    Если Вы даже не понимаете, что Вам пишут (хотя написали даже о базовых понятиях архитектуры сети), то как Вы собраетесь "учить" других "защищать" сервер?
    --- добавлено: 26 янв 2015 в 11:58 ---
    Как раз это очередной "гайд".
    --- добавлено: 26 янв 2015 в 12:01 ---
    И опять Вы не поняли о чем Вам говорят... :(
    Последнее редактирование модератором: 3 фев 2015
    SkyDev нравится это.
  5. gam1ng Эксперт MmoDev Пользователи White List

    Сообщения:
    299
    Лайки:
    432
    Репутация:
    1
    Команда:
    GG
    iptables работает на уровне OS, иными словами - до машины трафик в любом случае дойдёт (внезависимости заблокируете вы его или нет через iptables).
    1. Из этого следует, что если нагрузка на трафик превысит пропускную способность канала - будут проблемы с доступностью сервера, даже если iptables заблокирует все вредоносные пакеты.
    2. Так как обработка правил происходит на самом сервере, нужно учитывать то, что на проверку каждого входящего пакета - необходимо процессорное время. Даже если канал полностью забить не удалось (как в первом варианте), то процессор, при достижении определённого объёма, просто физически не успеет фильтровать, и выполнять запущенные процессы.
    Oxxxy007 и salitypw нравится это.
Черновик сохранён Черновик удалён

Поделиться этой страницей