форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"iptables, частный случай"	+/–
Сообщение от WeSTMan (ok) on 09-Мрт-16, 22:54
Коротко. Недавно столкнулся с проблемой DoS атакой. Решил попробовать свои силы, толку не хватает. До чего дошёл: Мои правила в iptables (По умолчанию цепочка INPUT - разрешена) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -j DROP Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, знатоки! http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iptables, частный случай"	+/–
Сообщение от ACCA (ok) on 10-Мрт-16, 00:35
Начни с iptables -P INPUT DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT Не изобретай велосипед, сначала используй примеры и пойми, что там происходит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "iptables, частный случай"	+/–
	Сообщение от WeSTMan (ok) on 10-Мрт-16, 05:00
	> Начни с > iptables -P INPUT DROP > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit > 25/minute --limit-burst 100 -j ACCEPT > Не изобретай велосипед, сначала используй примеры и пойми, что там происходит. iptables -P INPUT -j DROP - Дропаем все входящие соединения. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT - разрешаем уже установленное соединение. iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT - разрешаем доступ на порты 22,80,27017,27018. Лимит в 100 , после превышения - 25 в минуту
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables, частный случай"	+/–
Сообщение от aaa (??) on 11-Мрт-16, 20:08
>[оверквотинг удален] > 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT > iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit > 25/minute --limit-burst 100 -j ACCEPT > iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT > iptables -A INPUT -j DROP > Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо > не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством > UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, > знатоки! > http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт? Еще можно посмотреть в сторону модуля recent http://wiki.opennet.ru/Iptables_-m_recent
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "iptables, частный случай"	–1 +/–
	Сообщение от WeSTMan (ok) on 12-Мрт-16, 19:16
	>[оверквотинг удален] >> 25/minute --limit-burst 100 -j ACCEPT >> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT >> iptables -A INPUT -j DROP >> Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо >> не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством >> UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, >> знатоки! >> http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт? > Еще можно посмотреть в сторону модуля recent > http://wiki.opennet.ru/Iptables_-m_recent В общем собрал небольшую штучку: iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 -m state --state NEW -m recent --update --seconds 30 --hitcount 20 -j DROP iptables -A INPUT -p udp -m multiport --dports 21997,27016,9999,8888,27017,27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT iptables -A INPUT -j DROP Но проблема в том, что TCP перестаёт работать, я не разобрался, почему так
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "iptables, частный случай"	+/–
	Сообщение от aaa (??) on 13-Мрт-16, 18:54
	>[оверквотинг удален] > iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT > iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 > -m state --state NEW -m recent --update --seconds 30 --hitcount 20 > -j DROP > iptables -A INPUT -p udp -m multiport --dports 21997,27016,9999,8888,27017,27018 -m hashlimit > --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j > ACCEPT > iptables -A INPUT -j DROP > Но проблема в том, что TCP перестаёт работать, я не разобрался, почему > так Надо добавить разрешающее правило для NEW > iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 > -m state --state NEW -m recent --update --seconds 30 --hitcount 20 > -j DROP iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 -m state --state NEW -j ACCEPT
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема