Lappland_Saluzzo
Владелец Sibnet Software
- Сообщения
- 162
- Реакции
- 102
Эта тема является основным обсуждением к статье [Mikrotik] Шаманизм в RouterOS или как я сделал нормально закрытый Firewall в RAW, разгрузив маршрутизатор при школо-DDoS-ах..
Принимаю критику в мягкой форме. Если возникли проблемы - перечитайте статью полностью. Имейте ввиду, что этот комплекс правил работает с нуля, и только знающий RouterOS может встроить её без последствий для его сети.
Если что - NAT-PT это моя аббревиатура механизма NAT Overload с трансляцией под наш диапазон пользовательских исходящих портов.
Также, я рассказывал только о комплексе правил для разгрузки. Вы спокойно можете создать свои правила, и маркировать трафик установленных соединений к вашей службе, и принимать его в первую очередь, минуя защитные механизмы удаления фрагментированных пакетов и прочих несостыковок при атаке, если такие существуют в вашей конфигурации.
Недостаток используемой системы также заключается в том, что если злоумышленник внезапно нашел пользовательские порты (а это невозможно, если Input цепочка настроена по стандарту на простой DROP и выбран правильный диапазон пользовательских портов), и знает пример вашей конфигурации - он может убить интернет в локальной сети, если будет атаковать мульти-DDoS-ом через TCP и UDP подключения на всё порты. Имейте ввиду. С другой стороны, если вы общаетесь с DDoS-ером, вы спокойно можете заявить что работаете за NAT-ом поставщика услуг связи, и подтверждение вашим словам будет - подключения от вашего глобального адреса имеют нестандартные порты NAT.
И ещё, чаще всего, DDoS-еры спамят UDP трафиком, поскольку это проще, а значит TCP подключения будут спокойно проходить и интернет в LAN будет работать, но без UDP на время атаки.
Подобную систему возможно реализовать не применяя правила NAT, описанные в статье. Однако имейте в виду, что небольшие сканы и атаки, которые будут превышать ваше ограничение в RAW - будут убивать ваш интернет, поэтому рассчитывайте количество подключений для всех портов с умом. Разумеется, чтобы такое изобрести - вам необходимо полностью отключить все службы управления для интерфейса WAN, и перенаправить их в LAN. Если всё равно потребуется подключение к службе RouterOS - выполните технику Port Knocking. Подробно она написана на тематических сисадминских форумах.
Если возникли вопросы, или вы хотите что-либо реализовать/спросить как сделать - спрашивайте здесь, постараюсь ответить максимально развернуто.
Принимаю критику в мягкой форме. Если возникли проблемы - перечитайте статью полностью. Имейте ввиду, что этот комплекс правил работает с нуля, и только знающий RouterOS может встроить её без последствий для его сети.
Если что - NAT-PT это моя аббревиатура механизма NAT Overload с трансляцией под наш диапазон пользовательских исходящих портов.
Также, я рассказывал только о комплексе правил для разгрузки. Вы спокойно можете создать свои правила, и маркировать трафик установленных соединений к вашей службе, и принимать его в первую очередь, минуя защитные механизмы удаления фрагментированных пакетов и прочих несостыковок при атаке, если такие существуют в вашей конфигурации.
Недостаток используемой системы также заключается в том, что если злоумышленник внезапно нашел пользовательские порты (а это невозможно, если Input цепочка настроена по стандарту на простой DROP и выбран правильный диапазон пользовательских портов), и знает пример вашей конфигурации - он может убить интернет в локальной сети, если будет атаковать мульти-DDoS-ом через TCP и UDP подключения на всё порты. Имейте ввиду. С другой стороны, если вы общаетесь с DDoS-ером, вы спокойно можете заявить что работаете за NAT-ом поставщика услуг связи, и подтверждение вашим словам будет - подключения от вашего глобального адреса имеют нестандартные порты NAT.
И ещё, чаще всего, DDoS-еры спамят UDP трафиком, поскольку это проще, а значит TCP подключения будут спокойно проходить и интернет в LAN будет работать, но без UDP на время атаки.
Подобную систему возможно реализовать не применяя правила NAT, описанные в статье. Однако имейте в виду, что небольшие сканы и атаки, которые будут превышать ваше ограничение в RAW - будут убивать ваш интернет, поэтому рассчитывайте количество подключений для всех портов с умом. Разумеется, чтобы такое изобрести - вам необходимо полностью отключить все службы управления для интерфейса WAN, и перенаправить их в LAN. Если всё равно потребуется подключение к службе RouterOS - выполните технику Port Knocking. Подробно она написана на тематических сисадминских форумах.
Если возникли вопросы, или вы хотите что-либо реализовать/спросить как сделать - спрашивайте здесь, постараюсь ответить максимально развернуто.
Последнее редактирование:
