Обсуждаем все, что относится к выделенным серверам *NIX (Unix, Linux) и Windows
-
LasT_T
- Нович0к
- Сообщения: 26
- Зарегистрирован: 04.01.2012
- Благодарил (а): 6 раз
- Поблагодарили: 4 раза
#1
Сообщение
11.01.2013, 22:03
Нашол на одном форуме правило, которые якобы защищает флуд по портам.
Код: Выделить всё
iptables -A INPUT -p udp -m conntrack --ctstate NEW -m length --length 51:53 -m hashlimit --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_new -j ACCEPT
iptables -A INPUT -p udp -m conntrack --ctstate ESTABLISHED -m length --length 33:1390 -m hashlimit --hashlimit-upto 101/sec --hashlimit-burst 101 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name CStrike_ESTABL -j ACCEPT
iptables -A INPUT -p udp -j DROP
Тут вопрос, как сделать что бы был доступ для сетти ну и как-то упростить что-ли.
-
Non_Stop
- Капитан
- Сообщения: 255
- Зарегистрирован: 27.07.2010
- Благодарил (а): 1 раз
- Поблагодарили: 28 раз
-
Контактная информация:
#2
Сообщение
12.01.2013, 18:10
а причём тут сетти?
тут что его блокирует или что?По-моему нет.
Да и порты странные,если это для сервера.
VDS хостинг от 1.5$. Защита от DDOS. Частота CPU от 3.5 МГЦ
Идеальное предложение для игрового сервера.
Хостинг VDS
-
LasT_T
- Нович0к
- Сообщения: 26
- Зарегистрирован: 04.01.2012
- Благодарил (а): 6 раз
- Поблагодарили: 4 раза
#3
Сообщение
13.01.2013, 00:18
Non_Stop писал(а):а причём тут сетти?
тут что его блокирует или что?По-моему нет.
Да и порты странные,если это для сервера.
Блокирует сетти, попробуй правила себе добавить и кинуть сервер в сетти и увидиш...
Есть идеи получше?)
-
Dev
- Майор
- Сообщения: 601
- Зарегистрирован: 07.05.2011
- Откуда: Одесса
- Благодарил (а): 5 раз
- Поблагодарили: 48 раз
-
Контактная информация:
#4
Сообщение
13.01.2013, 02:27
От легкого флуда можно спастись этой ерундой (где $IPT - путь к iptables):
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -N SYN_FLOOD
$IPT -A INPUT -p tcp --syn -j SYN_FLOOD
$IPT -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
$IPT -A SYN_FLOOD -j DROP
Для более сложных атак - ищи информацию по связке iptables + ipset
P.S. хватит сидеть на csnetua и брать оттуда весь бред :)