Перейти до

Атака дос чи не дос по певному порту


Рекомендованные сообщения

Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.

 

Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.

Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow 2018-10-18_205403.png.c5f6fcc7a8a81ba176ff232a2c111ebf.png

наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.

 

Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?

Ссылка на сообщение
Поделиться на других сайтах
46 минут назад, MazaXaka сказал:

Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.

 

Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.

Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow 2018-10-18_205403.png.c5f6fcc7a8a81ba176ff232a2c111ebf.png

наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.

 

Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?

deny_in ищите темы на форуме не раз обсуждали.

Ссылка на сообщение
Поделиться на других сайтах
30 минут назад, pavlabor сказал:

Покажи правило ipfw объявления номера ната.

nat 11 config log ip 2.2.2.2 reset same_ports

якось  так..

потім table 80 add 2.2.2.2 11

ну і add 5551 nat tablearg ip from any to table\(80\) via ${WAN_IF} in

Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, MazaXaka сказал:

nat 11 config log ip 2.2.2.2 reset same_ports

измени на

nat 11 config log ip 2.2.2.2 reset same_ports deny_in

и будет счастье твоим клиентам

Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, KaYot сказал:

Т.е. BSD настолько рогатое из коробки что по умолчанию не дропает чужие пакеты?)))

А здесь подробнее, пжл

Что значит дропает чужие?

Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, Kiano сказал:

А здесь подробнее, пжл

Что значит дропает чужие?

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Ссылка на сообщение
Поделиться на других сайтах
26 минут назад, l1ght сказал:

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Дык, для того, чтобы понять, нужен этот трафик или нет, его в любом случае нужно анализировать

Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, l1ght сказал:

Дропать трафик который пришел на нат ипишки, которого нет в таблице стейтов.

Но нихера, линукс тоже не дропает если ничего не делать.

Это случаем не то самое, что в микротиках зовётся connection state = invalid?

Сколько раз читал, там настоятельно советуют в фаерволе запрещать эти инвалиды везде на всех интерфейсах.

Но получается 2 лишних правила, да и без этих правил работает вроде как нормально.

Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Туйон сказал:

Это случаем не то самое, что в микротиках зовётся connection state = invalid?

Сколько раз читал, там настоятельно советуют в фаерволе запрещать эти инвалиды везде на всех интерфейсах.

Но получается 2 лишних правила, да и без этих правил работает вроде как нормально.

Ну вот пусть Кайот отвечает, это он вброс сделал)))

Ссылка на сообщение
Поделиться на других сайтах
16 часов назад, pavlabor сказал:

nat 11 config log ip 2.2.2.2 reset deny_in

 

так же стоит убрать same_ports

Детали тут: http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html

 

еще одно слабое место ipfw nat это redirect_address - если есть хотя-бы сотня таких трансляций и кто-то запустит интенсивное сканирование на этот диапазон, то 100% CPU гарантирован :(

Ссылка на сообщение
Поделиться на других сайтах

Когда поставишь deny_in - не забудь выше прописать разрешающие правила для доступа к серверу, если у тебя один айпи

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від a_n_h
      Всем доброго дня и мирного неба!
        После многочисленных экспериментов выяснил, что на последних версиях freebsd  максимум удавалось прокачать до 14 ГБт суммарно трафика со 100% загрузкой процессора. На том-же железе но с установленной freebsd 11.2 прокачивается до 20-ти ГБт суммарно тестового трафика с загрузкой процессора около 50%. 
        Подскажите, что можно убрать или наоборот добавить в систему с freebsd 13,3 для получения аналогичного результата...
    • Від mac
      Здається, після оновлення PHP 7.4 до PHP 8.2 feesharvester припинив працювати:
       
      /usr/local/bin/curl "http://127.0.0.1/billing/?module=remoteapi&key={SERIAL}&action=feesharvester" <br /> <b>Fatal error</b>: Uncaught TypeError: Unsupported operand types: string - string in {UBPATH}/billing/api/libs/api.fundsflow.php:570 Stack trace: #0 {UBPATH}/billing/modules/remoteapi/feesharvester.php(22): FundsFlow-&gt;harvestFees('2024-01') ...  
      Невеличке розслідування врешті з'ясувало, що це через наявність пробілу у деяких логінах абонентів. Як так сталося? Тому що інколи був неуважно додан трейлінг пробіл до номеру будинка і цей пробіл потрапив до логіну абоненту. Логін абоненту неможливо змінити ніяким чином штатними засобами. Я не розглядаю створення нового абонента для усунення помілки.

      Був обран такий шлях вирішення проблеми. Заміну функції php explode() знайшов у мережі. Мабуть це станеться в нагоді:

       
      diff api.fundsflow.php.bak api.fundsflow.php.new 559c559 < $eachfee = explode(' ', $eachline); --- > $eachfee = preg_split("~(?<!\\\\)(?:\\\\{2})*'[^'\\\\]*(?:\\\\.[^'\\\\]*)*'(*SKIP)(*F)|\s+~s" , $eachline);  
    • Від FantoM_EscapE
      Хочу перенести свій білінг NODENY із фізичного сервера на віртуальний. Шукаю адміна який зможе допомогти у цьому питанні, так як нашого адміна банально призвали до війська. Вся схема на даний момент робоча, маю доступи до всього. Потрібно проінсталити на новішу версію FREEBSD, бо на моїй 10 річній вже не працюють нові SSL сертифікати. Кого зацікавила дана пропозиція - прошу у приватні повідомлення. обсудимо ціну і строки. або пишіть на будь-який месенджер 0677792091
    • Від zabiyako
      Блокуєм:
       
      TCP-порти 21, 80, 3128, 1080, 8080, UDP-порти 53, 1434 − у напрямку до Абонентів,
      TCP-порти 25, 135-139, 445, 543 UDP-порти 135-139 − для всіх Абонентів у всіх напрямках.)
       
      Для среднестатистического ISP этого вполне достаточно имхо...
    • Від lalabebe
      Добрый день

      требуется мобильный роутер с файрволлом или в металле или как программа

      ОС и прошивка: андроид или что угодно если отдельное устройство

      Описание проблемы:
      Задача: 2 детей 5 и 6 лет у которых свои лаптопы под виндовс
      требуется раздавать им интернет дома в дороге и в гостинице или в гостях например
      раздавать либо из эфира 4g через свой телефон либо подключаясь уже к имеющемуся вайфай в данной локации
      для чего это нужно
      ограничивать время когда интернет подключен вести белый или блэклист
      запрещать ip порты и url либо наоборот открывать доступ
      делать это на лаптопах я не хочу на девайсе доступ полный чтобы не было проблем использовать весь софт и утилиты без ограничений и с одного лаптопа на другой ходить свободно
      каждый раз переносить настройки из одной локации в другую сложно особенно когда к роутеру доступа нет
      иногда бывает доступ по номеру телефона на один девайс в гостинице или в каком то учреждении тоже надо иметь возможность расшарить


      уйти из гостиницы или airbnb и оставить там вайфай к нему дать доступ детям и камерам наблюдения например
      идеально чтобы было носимое устройство с независимым питанием
      может прямо на телефоне можно запустить такое
      возможно нужно купить отдельный роутер с сим картой но как сделать так чтобы он в wan ходил через wifi
       
      мысль есть найти 4g носимый вайфай модем с двумя радио диапазонами 2.4 и 5 и сделать на его базе с помощью OpenWRT то что мне нужно

      надеюсь понятно чего я хочу если нет рад буду дать больше подробностей
      подскажите кто с таким сталкивался и такое искал возможно оно существует давно
       
×
×
  • Створити нове...