Реклама


IP Tables и Защита от DDoS сервера от Pro

Добавил VAAN, в категорию: Защита Сервера (19-09-2011, 00:24)
IP Tables и Защита от DDoS сервера от Pro


Описание: IP Tables и Защита от DDoS сервера от Pro
Платформа: Linux
Автор: Pro


IP Tables и Защита от DDoS
Внимание: работа с IPT на удаленной машине весьма опасна, не заблокируйте себе доступ к серверу


Вариант №1: Запрет захода со сторонних стран

*Для облегчения польские девелоперы сделали скрипт.
*[Скачиваем его] Обязательно настройте страны внутри скрипта!
*Создаем папку /root/ddos
*Вводим: chmod +x count.sh
*Можем настроить страны для которых мы запрещаем соединение, они настраиваются в самом файле, открываем и редактируем.
*Вводим: cd /root/ddos && ./count.sh
*Запустили,скрипт внес изменения в IPtables

P.S: по личному опыту знаю, что в большинстве случаев досят из азии, в основном китай.(самые дешевые сервера для ботнета)

Вариант №2: Настройка соединений

*Так как на одного пользователя приходится - одно соединение с сервером, логично сделать ограничение.
*Для этого воспользуемся "connlimit" модом.
*Вводим: apt-get install user-mode-linux
*Теперь с помощью этого мода ограничим кол-во соединений на порт логина
*Вводим: iptables -A INPUT -p tcp --syn --dport 2106 -m connlimit --connlimit-above 20 -j REJECT
*--connlimit-above 20 - означает, что на логин приходится постепенно 20 соединений и не более
*На гейм-сервер думаю не актуально ставить такое ограничение, при досе свободные места забьются и никто не зайдет
*А вот на порт mysql я бы советовал поставить
*Вводим: iptables -A INPUT -p tcp --syn --dport 3306 -m connlimit --connlimit-above 30 -j REJECT


Вариант №3: Установка правил

*Правил для IP Tables в интернете много, но не все вам нужны.
*Я пользовался правилами с allcheats, которые создавались специально для la2 сервера.

#!/bin/sh
IPT=/sbin/iptables
UNIPORTS="1024:65535"
INET_IFACE="eth0"

$IPT -F
$IPT -X
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 2106 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 7777 -j ACCEPT
$IPT -A INPUT -p ICMP -i eth0 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCE
PT
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport 1024:65535 -j AC
CEPT --sports 80,443 ! --syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65535 --sport 21 -j ACCE
PT ! --syn
$IPT -A INPUT -i eth0 -p tcp --dport 2106 -m state --state NEW -m connlimit --connlimit-above 20 -j REJECT
$IPT -P INPUT DROP

Внимание: скрипт работает только для подключения eth0

*Установим эти правила
*Создаем файл .sh
*Пусть он будет расположен здесь: /root/server/ipt.sh
*Заполняем его нашими правилами(см. выше)
*Выдаем ему права на выполнение:
*Вводим: cd /root/server
*Вводим: chmod +x ipt.sh
*И запускаем:
*Вводим: sh ./ipt.sh
Все, ваш сервер полностью готов.
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт lasteam.ru под своим именем что бы подробно просмотреть "IP Tables и Защита от DDoS сервера от Pro".

Другие новости по теме:

19 сентября 2011 05:56
Оставил: sumka (ICQ: 376251931 | )
Должность на сайте: Посетители
Зарегистрированный: 6.10.2010
Имеет: 93 комментарий(ев) и 3 публикации(й)
Номер комментария: 2
*--connlimit-above 20 - означает, что на логин приходится постепенно 20 соединений и не более

при ддосе, забьется порт, и простые игроки не смогут зайти.

на разрешить не больше 1-3 коннектов с ИП (NAT игроки подождут чуток)
и повесить срипт, который смотрит у кого больше 3-5 коннектов, и их банить (в крон)

$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCE

открыт плоностью, заддосят :)
19 сентября 2011 02:59
Оставил: ultrakill (ICQ: | )
Должность на сайте: Посетители
Зарегистрированный: 24.01.2011
Имеет: 17 комментарий(ев) и 0 публикации(й)
Номер комментария: 1
ух ты блеать, как говарится, это было в 90х
нашли что опубликовать!

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Я тебя не знаю!
Зарегистрируйся, либо войди под своим логином!

Логин:
Пароль:
Войти

Если ты забыл пароль, пройди через форму возврата пароля!

Посетители

Сейчас на сайте: 4
Гостей: 4
Пользователи: 
- отсутствуют
Роботы: 
- отсутствуют

 Последние посетители: 
© emudev.info Наверх

Проверка тиц