IPTables pod OTS oraz apache VPS [Pomoc]

[sony321]

Witam,

Mam już problem z tym od około roku, nie moge znaleść żadnych działających reguł IPTables pod OTS który by automatycznie wyrzucał IP które przekroczy liczbe 10 połączeń (dokładnie chodzi mi o obrone przed programem Serwer Attack)​

Wiem że jest taka możliwość ponieważ kiedyś już miałem takie reguły i działały lecz rzuciłem serwery i przepadły, a teraz wróciłem na nowo i chciałbym sobie zabezpieczyć serwer.

Używam VPS linux debian 6.0 kupiony w firmie Biznes-Host.pl

Proszę o pomoc.

 

[Deleted member 148307]

Webmin+CSF.
Przy odpowiedniej konfiguracji regułki tworzą się same przy ataku, naprawdę zajebista sprawa.

 

[Don Daniello]

iptables -A INPUT -p tcp -m recent --rcheck --seconds 60 -j REJECT
iptables -A INPUT -p tcp --dport 7171 -m connlimit --connlimit-above 10 -m recent --set -j REJECT
iptables -A INPUT -p tcp --dport 7172 -m connlimit --connlimit-above 10 -m recent --set -j REJECT

 

[Cykotitan]

/etc/ipt
[cpp]*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ch - [0:0]

# loopback
-A INPUT -i lo -j ACCEPT

# login packet
-A INPUT -p tcp -m tcp --dport 7171 --tcp-flags FIN,SYN,RST,PSH,ACK,URG PSH,ACK -m length --length 191 -j ch
# logout packet
-A INPUT -p tcp -m tcp --dport 7172 --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,ACK -m recent --set --name login --rsource

# drop banned clients
-A INPUT -m recent --rcheck --seconds 600 --name ban --rsource -j DROP

# accept established
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

# ban over 24 connections
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 24 --connlimit-mask 32 -m recent --set --name ban --rsource -j DROP

# IP-specific bans, 1 line per IP
#-A INPUT -s 186.211.32.3 -j DROP

# HTTP
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

# loginserver and gameserver
-A INPUT -p tcp -m tcp --dport 7171 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit ! --connlimit-above 2 --connlimit-mask 32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7172 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --rcheck --seconds 30 --name login --rsource -j ACCEPT

# DNS
-A INPUT -p udp -m state --state ESTABLISHED -m udp --sport 53 -j ACCEPT

# NTP
#-A INPUT -p udp -m state --state ESTABLISHED -m udp --sport 123 -j ACCEPT

# SSH
-A INPUT -p tcp --dport 22 -j ACCEPT

# ban UDP, not very useful!
-A INPUT -p udp -m recent --set --name ban --rsource -j DROP

# accept login
-A ch -m recent --set --name login --rsource -j ACCEPT
COMMIT[/cpp]iptables-restore /etc/ipt

 

[sony321]

Sory że odświeżam, Cykotitan mógłbyś powiedzieć jak użyć tych reguł? I czy one zablokują atak na port 7171 oraz 80?

 

[Deleted member 148307]

To zależy od nakładki na iptables i czy nie korzystasz z jakiś dodatkowych FW softwarowych typu CSF, APT itd.

Jeżeli masz "czyste" iptables możesz wprowadzać po linijce przez root'a te regułki w SSH, lub stworzyć w init.d plik który przy starcie systemu będzie je aktualizował, oczywiście taki plik musi mieć odpowiednie prawa.

Zablokować - zablokują, ale nie licz na zbyt dużo, nie wybronisz się VPS'em przed np. atakiem z większej ilości komputerów bo taki programowy FW jak iptables przy łączu 100Mbit nie da rady wszystkiego zawsze wyłapać przy większej ilości pps czy przepustości.

 

[Don Daniello]

A ja wam powiem, że większość modułów iptables do limitowania ataków jest po prostu niedostępna na VPSach i tyle.
Cykotitan Ci za dużo nie powie, bo na translatorze jedzie
I nie radzę zbyt dużo kombinować z UDP (to jest blokować całego), bo płatności SMS przestaną działać (UDP to też DNS).

 

[Deleted member 148307]

A ja wam powiem, że większość modułów iptables do limitowania ataków jest po prostu niedostępna na VPSach i tyle.
Cykotitan Ci za dużo nie powie, bo na translatorze jedzie
I nie radzę zbyt dużo kombinować z UDP (to jest blokować całego), bo płatności SMS przestaną działać (UDP to też DNS).

Przecież wystarczy ticket i każdy hosting odblokuje connlimit i conntrack - bo to właśnie te 2 moduły są głównie blokowane, czasami są problemu z odblokowaniem connlimitu a wynika to już z samej wirtualizacji ^^ (bug z procesorami x64 przy openvz) - swoją drogą chyba nadal tego nie naprawili :s

 

[Don Daniello]

Przecież wystarczy ticket i każdy hosting odblokuje connlimit i conntrack - bo to właśnie te 2 moduły są głównie blokowane, czasami są problemu z odblokowaniem connlimitu a wynika to już z samej wirtualizacji ^^ (bug z procesorami x64 przy openvz) - swoją drogą chyba nadal tego nie naprawili :s

No właśnie, że nie każdy. A najlepiej jak już ticket to niech oni zablokują

 

[Deleted member 148307]

To masz pecha do hostingów
Albo po prostu testowałeś VPS'y w jakiś budżetówkach, bo te hostingi "z wyższej półki" szanują klienta. A za takie przyjemności jak filtracja pakiecików to trzeba już dopłacać

 

[Don Daniello]

To było dawno temu, teraz przecież nie będę kupował VPSa u konkurencji
A faktycznie, takie "przyjemności" są albo niedostępne (niewielu chce się to robić w ogóle), albo dużo płatne, dlatego ja się na tym skupiam.

 

[Deleted member 148307]

Dawno temu coś takiego jak konkurencja określało się inaczej, a mianowcie kto jebnie większy overselling - taki żeby tylko dyski się nie zesrały , a na tickety odpowiadało się tylko przy awariach, teraz standardy się polepszyły, ale to ze względu na to że tyle firm hostingowych weszło przez ostatnie lata.
No a jeżeli chodzi o filtracje to nie masz się czego dziwić bo przecież takie routerki nie rosną na drzewach

 

[Don Daniello]

No a jeżeli chodzi o filtracje to nie masz się czego dziwić bo przecież takie routerki nie rosną na drzewach

Ciekawostka: CISCO ASA z obsługą do 20 gbps to tylko 800 000 zł

 

[Deleted member 148307]

Ciekawostka: CISCO ASA z obsługą do 20 gbps to tylko 800 000 zł

Ja nie rozumiem tego fanbojostwa cisco firma dobra ale ceny trochę z dupy, nie lepiej wziąźć jakieś juniperka który wydajnością zjadłby ASA a ceną to już kompletnie niszczy

@prv, bo nie chce mi się nowego konta zakładać. A samme już pewnie węszy ;d

Jakbyś tak nie flejmował i trollował to może i by Cię oszczędził

 

[Dulin]

Ciekawostka: CISCO ASA z obsługą do 20 gbps to tylko 800 000 zł

Po co komu takie coś jak nie ma rurki do tego? Z pustego to i salomon nie naleje. Po za tym do tego, raczej też wypadałoby mieć jakieś pojęcie np CCIE...

 

[Don Daniello]

Po co komu takie coś jak nie ma rurki do tego? Z pustego to i salomon nie naleje. Po za tym do tego, raczej też wypadałoby mieć jakieś pojęcie np CCIE...

Dlatego też widnieje tam słowo "Ciekawostka:".
Z drugiej strony, oferowany za 210 zł miesięcznie netto CISCO ASA 5505 to można sobie w dupę wsadzić. Chcieli mi taki zamontować na łączu potencjalnie wyciągającym 10 gbps (od routera). Fajnie tylko, że ten cisco maksymalnie ogarnie 150 mbps. Nawet nie potrzeba CCIE aby to wiedzieć. I to kolejna ciekawostka jakie pierdoły próbują Warszawiacy ludziom wciskać.

 

[Dulin]

Dlatego też widnieje tam słowo "Ciekawostka:".
Z drugiej strony, oferowany za 210 zł miesięcznie netto CISCO ASA 5505 to można sobie w dupę wsadzić. Chcieli mi taki zamontować na łączu potencjalnie wyciągającym 10 gbps (od routera). Fajnie tylko, że ten cisco maksymalnie ogarnie 150 mbps. Nawet nie potrzeba CCIE aby to wiedzieć. I to kolejna ciekawostka jakie pierdoły próbują Warszawiacy ludziom wciskać.

No do tego nie trzeba CCIE, bo pisze w data sheet ale czego to można wymagać od zabawki za 1400 zł... Tylko w sumie gdyby wycieli na routerze udp ! 53 to można zrobić coś takiego, że jeden ethernet będzie miał 10 gbps kolejny będzie z protekcją sprzętowego fw. Zapewne te 10gbps nie idzie miedziakiem tylko fiber więc nawet sieciówki nie trzeba dokładać bo standardowo w serwerowych płytach są 2x ehternet. PS: Jeżeli testowałeś prędkość do routera testem alla udp_flood, to twoje "wyciąganie" jest błędne, bo tyle przepuszcza sieciówka nie sieć. Udp lubi głupoty pokazywać.

@edit
Samo łącze polecam wytestować iperfem jest najbardziej wiarygodny