DDoS-защита Linux'овского сервера через правила iptables

hook007

Участник
Сообщения
137
Реакции
5
Автору огромнейшее спасибо. Разбарчево и очень полезно. Весь гугл облазил и тут нашел то что мне нужно. Один момент - -hashlimit 50/s это не пинг? Извините за нубство, но если поставить 1/s к примеру. Как реакция будет-то?
 

KorDen

Atra esterní ono thelduin!
Сообщения
2,142
Реакции
1,424
Nikolay TT, это лимит подключений с одного IP, Т.е. при 1/s будет банится каждый кто подключается :D
Хотя может я чего путаю
 

Arthur Don

Участник
Сообщения
1,696
Реакции
256
А как проверить если атаки на сервер?
 

OSR-Sapport

Участник
Сообщения
25
Реакции
0
Чтобы забанить подсеть из двух чисел, а не из трёх надо прописать iptables -A INPUT -s xxx.xxx.0/24 -j DROP так?
 

CTe6eJIeK_vRn

Участник
Сообщения
2,114
Реакции
1,867
OSR-Sapport, Оффтоп
 

OSR-Sapport

Участник
Сообщения
25
Реакции
0

OSR-Sapport

Участник
Сообщения
25
Реакции
0

CTe6eJIeK_vRn

Участник
Сообщения
2,114
Реакции
1,867
OSR-Sapport, Оффтоп
 

WeSTMan

А вот тут текст!
Сообщения
833
Реакции
516
Как избавиться от DDoS'а на 80 порт?
 

Monomizer

Держу JDW в бане.
Сообщения
1,947
  • Команда форума
  • #72
alex2131, Ставишь nginx фронтендом и в конфиге nginx просто фильтруешь по юзер-агенту.
Если попа полная, то заносить правила в фаервол.
А мощный ddos "руками" не отобьёшь.
М.б. школота канал засирает?
 

WeSTMan

А вот тут текст!
Сообщения
833
Реакции
516
alex2131, Ставишь nginx фронтендом и в конфиге nginx просто фильтруешь по юзер-агенту.
Если попа полная, то заносить правила в фаервол.
А мощный ddos "руками" не отобьёшь.
М.б. школота канал засирает?

Уже стоит апач.

Добавлено через 13 минут
Вот мой IPTables

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --set --name web
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 30 --hitcount 20 --rttl --name web -j DROP
iptables -A INPUT -p udp -m udp --dport 27000:30000 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 27000:30000 -m state --state NEW -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT
iptables -A INPUT -p udp --dport 27000:30000 -j DROP

Добавлено через 11 часов 56 минут
хм... А если вот такой вопрос.. Если стоит и DoS Protect и защита средствами iptables. Они оба работает?
 
Последнее редактирование модератором:

WeSTMan

А вот тут текст!
Сообщения
833
Реакции
516
Ребят, тема актуальна. Поставил Dos Protect, вот что получилось:
Решил его проверить, итог: Скачал обычную прогу для доса сампа, вбил адрес и и порт, подождал секунд 10 и выключил. DoS Protect перехватил 16094 пакетов из 50000. Что делать?
 

Vetaldx dx

Участник
Сообщения
341
Реакции
28
Когда так задаешь правила, то тогда сервера в Избранном отображаются как выкл или пинг 2000, а потом падает и опять же набирает и опять в офлайне, но подкл можно к нему! :)
 

WeSTMan

А вот тут текст!
Сообщения
833
Реакции
516
Ребят, есть сервер под Linux и есть роутер, на роутере могу добавить свои правила в IPTables. Куда лучше их написать ? В сервер или роутер?
 

hook007

Участник
Сообщения
137
Реакции
5
Подскажите пожалуйста как можно сделать ограничение одновременных запросов с ЛЮБОГО IP в определенный промежуток времени?
К примеру максимум 5 запросов в течении 1 секунды, все остальные запросы в данном промежутку отклоняются. Буду признателен за подсказку!
 

Banana

Участник
Сообщения
892
Реакции
113
Re: DDoS-защита Linux'овского сервера Source через правила iptables

Примечание 1:
Кстати, Бан по iptables вроде как не Банит на сервере CS:S, то есть Юзер, забаненный по iptables, сможет играть на вашем Серваке, но не сможет ДДОСить!

Что за бред? :no:
 

TolikCorp

Участник
Сообщения
874
Реакции
334
Игрок сидит на UDP, если его забанят по UDP - то играть не сможет.
 
Сверху Снизу