The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables, частный случай"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение [ Отслеживать ]

"iptables, частный случай"  +/
Сообщение от WeSTMan email(ok) on 09-Мрт-16, 22:54 
Коротко. Недавно столкнулся с проблемой DoS атакой. Решил попробовать свои силы, толку не хватает. До чего дошёл:
Мои правила в iptables
(По умолчанию цепочка INPUT - разрешена)
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP

Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, знатоки!
http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables, частный случай"  +/
Сообщение от ACCA (ok) on 10-Мрт-16, 00:35 
Начни с

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

Не изобретай велосипед, сначала используй примеры и пойми, что там происходит.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables, частный случай"  +/
Сообщение от WeSTMan (ok) on 10-Мрт-16, 05:00 
> Начни с
> iptables -P INPUT DROP
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit
> 25/minute --limit-burst 100 -j ACCEPT
> Не изобретай велосипед, сначала используй примеры и пойми, что там происходит.

iptables -P INPUT -j DROP - Дропаем все входящие соединения.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT - разрешаем уже установленное соединение.
iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT - разрешаем доступ на порты 22,80,27017,27018. Лимит в 100 , после превышения - 25 в минуту

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables, частный случай"  +/
Сообщение от aaa (??) on 11-Мрт-16, 20:08 
>[оверквотинг удален]
> 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
> iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit
> 25/minute --limit-burst 100 -j ACCEPT
> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
> iptables -A INPUT -j DROP
> Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо
> не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством
> UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи,
> знатоки!
> http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?

Еще можно посмотреть в сторону модуля recent
http://wiki.opennet.ru/Iptables_-m_recent

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "iptables, частный случай"  –1 +/
Сообщение от WeSTMan email(ok) on 12-Мрт-16, 19:16 
>[оверквотинг удален]
>> 25/minute --limit-burst 100 -j ACCEPT
>> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
>> iptables -A INPUT -j DROP
>> Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо
>> не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством
>> UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи,
>> знатоки!
>> http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?
> Еще можно посмотреть в сторону модуля recent
> http://wiki.opennet.ru/Iptables_-m_recent

В общем собрал небольшую штучку:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 -m state --state NEW -m recent --update --seconds 30 --hitcount 20 -j DROP
iptables -A INPUT -p udp -m multiport --dports 21997,27016,9999,8888,27017,27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
iptables -A INPUT -j DROP
Но проблема в том, что TCP перестаёт работать, я не разобрался, почему так

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "iptables, частный случай"  +/
Сообщение от aaa (??) on 13-Мрт-16, 18:54 
>[оверквотинг удален]
> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
> iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018
> -m state --state NEW -m recent --update --seconds 30 --hitcount 20
> -j DROP
> iptables -A INPUT -p udp -m multiport --dports 21997,27016,9999,8888,27017,27018 -m hashlimit
> --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j
> ACCEPT
> iptables -A INPUT -j DROP
> Но проблема в том, что TCP перестаёт работать, я не разобрался, почему
> так

Надо добавить разрешающее правило для NEW
> iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018
> -m state --state NEW -m recent --update --seconds 30 --hitcount 20
> -j DROP

iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 -m state --state NEW -j ACCEPT

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру