Ищу защиту всего сервера
- Автор темы xek
- Дата начала
Kruzya
Участник
- Сообщения
- 12,970
- Реакции
- 10,924
- Команда форума
- #3
В идеале, правильно настроенная железка перед компьютером. При этом, у самой железки канал в мир должен быть шире, чем предоставляет Вам провайдер, по вполне логичным причинам. Для этого придётся с ним договориться, и не факт, что он даст Вам оборудование ещё поставить.
Минимизировать кол-во "уязвимостей" можно посредством содержания как можно меньшего кол-ва модулей для того же Apache.
DNS вообще торчать наружу не должен, его нужно закрыть.
iptables не спасёт от забивания канала. Тут уместен старый как мир пример: Вам в трубу соседи заливают говно, а Вы затыкаете часть трубы пальцем. Атака, вроде, и не проходит, но канал-то забит, и легитимный трафик не проходит как следствие тоже.
iptables может спасти лишь от "неправильных" пакетов и для закрытия тех портов, которые не должны торчать наружу. Но, в идеале, он должен быть настроен на отброс всех пакетов по умолчанию, и ручное вбивание всех необходимых портов в белый список.
Морковка
Котлетка ^^
- Сообщения
- 878
- Реакции
- 472
Спасибо. Коврик себе заберу раз ни кто не хочет.
Если без приколов, то домашний сервер спасти может лишь отсутствие доступа в Мир. (Самый простой и надёжный способ)
P.S. у меня тоже домашний серекр. Если кто-то плохой пытается сделать что-то плохое то нужно просто терпеть.
mika
Участник
- Сообщения
- 1,069
- Реакции
- 641
Я сестре так же говорю каждую ночь, не жалуется.
p.s.
Вообще понятия не имею, как можно сидеть на Гбитной шаре, которую целый дом делит, и спрашивать об защите.
DoZa
Борец с оверселингом
- Сообщения
- 155
- Реакции
- 35
для защиты apache юзай cloudflare или лучше бесплатный ddos-guard iptables поможет только блокировкой нежелательных стран таких как китай индия сша .
Морковка
Котлетка ^^
- Сообщения
- 878
- Реакции
- 472
это бесполезно и детский лепет. У меня в доме гбит весит. Только для меня. Дом старый, соседи себе легкие тарифы по 10-15 мб подключили и сидят видео смотрят может раз в неделю увижу что они роутер включили (wifi сеть их появляется). Крч школьник купил панельку на сутки, какой-то тестовый период. Он мне сразу положил все. При чем у меня IPTV и интернет, все сразу легло. Провайдер даже понятия не имел что случилось, они даже не принимают заявки от меня. Чел видно за пару баксов купил панельку на 48 часов и бегал серваки кошмарил, а потом деньги требовал.
Единственное что можно сделать - терпеть. Просто сидишь и игноришь. Игрокам сообщаешь что ну не будет серверов некоторое время. Человек по ддосит и перестанет, если поймет что денег и реакции ни како от тебя не добьется. Все.
September
Участник
- Сообщения
- 5,238
- Реакции
- 2,742
- Команда форума
- #9
Ростелеком например только для юр.лиц предоставляет какую-никакую фильтрацию на уровне их оборудования. И вопросы расширения каналов, индивидуальные вопросы защиты решают с юр.лицами.
По крайней мере, мне в моем городе отказали. Через связи думаю можно, но таких в РТК у меня нет. В других городах возможно халатно относятся к этому. Про других провайдеров не знаю.
По крайней мере, мне в моем городе отказали. Через связи думаю можно, но таких в РТК у меня нет. В других городах возможно халатно относятся к этому. Про других провайдеров не знаю.
xtance
Участник
- Сообщения
- 513
- Реакции
- 743
Мне бы хотелось узнать самое быстрое (для процессора) решение по поводу блокировки стран. Днями напролёт с китайских айпи сыпятся запросы на адреса типа мой_сайт/admin.php и прочие НЕсуществующие на сервере файлы, о чем я узнаю в логах, видимо боты ищут что можно сломать. А там нечего!
DoZa
Борец с оверселингом
- Сообщения
- 155
- Реакции
- 35
Морковка
Котлетка ^^
- Сообщения
- 878
- Реакции
- 472
Самое правильное, я считаю, нужно отсеивать весь трафик кроме СНГ стран (ну если у Вас игроки СНГ). Но я даже понятия не имею как это сделать если у тебя обычный домашний сервер при чем на windows (мне легче там, машина выделенная и я сам на ней не играю, не думайте). Скорее всего, я думаю, нужно купить роутер типа MIKROTIK и с него трафик такой отсеивать. Но вопрос, даже если мы начнем отсеивать трафик, сам канал будет забиваться? Оффтоп
будит. микротик игрушка хорошая, но из бюджетного сегмета он ласты склеит быстрей чем засрется 100мб канал, как вариант поставить мт на тазик и там уже что-нить конструировать в плане правил фильтрации. если тазик достаточно шустрый то там и свои хотелки можно реализовать - web srv, srcds, tor иль еще чего автоматического обхода "санкций" роскомпозора, в общем что душа пожелает и что крутится под линью. я вчасности говорю про мт 5.26 с дебианом на борту который с руборда.
Последнее редактирование:
