Как защитить NATD от ДДОС атаки из внутренней сети.
Во внутренней сети - более 500 ПК, все они ходят через нат (наружу имеею сеточку /26).
При заражении нескольких ПК вирями - от них идет громадное количество пакетов по разным портам и адресам, забивая сокеты NATD, при этом интернет с других ПК тоже начинает "тормозить"!Мысли (воспользоваться правилом limit) такие:
ipfw add allow ip from any to any via lo0
ipfw add deny ip from any to any 135, 139, 445 и проч "плохие" порты
# каждого юзера юзеров добавляем правилом
ipfw add 3000 skipto 50000 ip from 192.168.10.xxx to any limit dst-addr 1000 in via ifIN
ipfw add 3000 skipto 50000 ip from any to myOUTnet/26 in via ifOUT
ipfw add 49999 deny ip from any to any
ipfw add 50000 divert natd all from any to any
ipfw add 50001 allow from any to anyНЕ ПОДХОДИТ
если выставлять dst-addr 1000 каджому юзеру - создается ограмное количество димамических правил (особенно при флуде), количество динамических правил исчерпывается (да, его можно поднять sysclt переменной - но все равно - значение не резиновое) и ipfw выдает too many dymanic rules, sorry. При этом другие юзеры которым также добавлено limit dst-addr 1000 уже не попадают в divert.Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)?
Ну подскажите хоть в какую сторону смотреть,(покопался в манах ipnat и ipf, там тоже вижу выхода)
>Ну подскажите хоть в какую сторону смотреть,
>
>(покопался в манах ipnat и ipf, там тоже вижу выхода)
Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж левые соедидения до попадания в nat .
А вообщето как по мне , то 500машин в одной сети многовато... порабы наверное разделять, вешать половину в другую сетевуху.... и тд... мож поможет.
А может у тя и роутер слабинький просто для такого количества тазиков.
может man ipfw / limit поможет отцу русской демократии??
>может man ipfw / limit поможет отцу русской демократии??нет не поможет, я написал почему.
>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
все порты не закроешь, это конечно выход но только отчасти
>>может man ipfw / limit поможет отцу русской демократии??
>
>нет не поможет, я написал почему.Понял, плохо читал.
>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
>все порты не закроешь, это конечно выход но только отчастиЭт почему это? IPFW_DEFAULT_TO_DENY
>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
>>все порты не закроешь, это конечно выход но только отчасти
>
>Эт почему это? IPFW_DEFAULT_TO_DENYПотому что default_to_deny добавляется в конец правил.
>>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
>>>все порты не закроешь, это конечно выход но только отчасти
>>
>>Эт почему это? IPFW_DEFAULT_TO_DENY
>
>Потому что default_to_deny добавляется в конец правил.Неверный ответ. default_to_deny означает, что все изначально запрещено, и только открываешь определенные порты.
>>>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
>>>>все порты не закроешь, это конечно выход но только отчасти
>>>
>>>Эт почему это? IPFW_DEFAULT_TO_DENY
>>
>>Потому что default_to_deny добавляется в конец правил.
>
>Неверный ответ. default_to_deny означает, что все изначально запрещено, и только открываешь определенные
>порты.Повторяю для особо продвинутых: опция default_to_deny добавляет правило номер 65535 : deny ip from any to any. Что непонятно?
А где такая опция, не нахожу ее
>А где такая опция, не нахожу ееА ее там и нету. Она была в старых ядрах (вернее, в файле конфигурации ядра). Сейчас она включена по умолчанию.
Посмотри ports/net/scand
>Посмотри ports/net/scandИнтересно. Но неужели нет других вариантов?? Пока вижу только выход - использовать ipnat, где можно задать диапазон и количество используемых портов, (таким огразом уберечься от флуда).
ipnat использовать не хочеться:
1. из-за его проблем с клиентскими "активными соединениями" где нужно "прокить"
2. то что он работает перед ipfw