Защита DDOS

[a_n_h 590]

Фактически это продолжение темы:

https://local.com.ua/forum/topic/91594-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BE%D0%BC/

[supportod 1]

Вы свежий биос нашли? обновили?

[Sоrk 48]

ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in same_ports unreg_only reset

ipfw nat 2 config ip XXX.XXX.XXX.19 log same_ports reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY

ipfw nat 1 config ip XXX.XXX.XXX.18 log same_ports reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

 

Предлагаю проверить такое:

1. убираем в настройках same_ports (описание причины тут http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html )

2. делаем правило ограничения на вход из мира на внешние IP в которые выполняется НАТ:

ipfw add 1 deny udp from any to XXX.XXX.XXX.20,XXX.XXX.XXX.19,XXX.XXX.XXX.18 dst-port 53,123 

ipfw add 1 deny tcp from any to XXX.XXX.XXX.20,XXX.XXX.XXX.19,XXX.XXX.XXX.18 dst-port 23,37777

 

но чтобы знать точно что блокировать - сделать в ipcad экспорт netflow на коллектор и увидеть по какому порту идет всплеск flows

Відредаговано 2017-03-26 09:42:00 Sоrk

[a_n_h 590]

спасибо за подсказку:

 

ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in same_ports unreg_only reset

ipfw nat 2 config ip XXX.XXX.XXX.19 log same_ports reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY

ipfw nat 1 config ip XXX.XXX.XXX.18 log same_ports reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

 

Предлагаю проверить такое:

1. убираем в настройках same_ports (описание причины тут http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html )

2. делаем правило ограничения на вход из мира на внешние IP в которые выполняется НАТ:

ipfw add 1 deny udp from any to XXX.XXX.XXX.20,XXX.XXX.XXX.19,XXX.XXX.XXX.18 dst-port 53,123 

ipfw add 1 deny tcp from any to XXX.XXX.XXX.20,XXX.XXX.XXX.19,XXX.XXX.XXX.18 dst-port 23,37777

 

но чтобы знать точно что блокировать - сделать в ipcad экспорт netflow на коллектор и увидеть по какому порту идет всплеск flows

 

так:

ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in unreg_only reset

ipfw nat 2 config ip XXX.XXX.XXX.19 log reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY

ipfw nat 1 config ip XXX.XXX.XXX.18 log reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

правильно?

[a_n_h 590]

немного вник в это:

http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html

очень похоже на мой случай.

[l1ght 377]

В большинстве случаев deny_in на всех нат инстансах спасет отца русской провайдерской демократии

[a_n_h 590]

В большинстве случаев deny_in на всех нат инстансах спасет отца русской провайдерской демократии

так:

ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in unreg_only reset

ipfw nat 2 config ip XXX.XXX.XXX.19 log deny_in unreg_only reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY

ipfw nat 1 config ip XXX.XXX.XXX.18 log deny_in unreg_only reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

[l1ght 377]

 

В большинстве случаев deny_in на всех нат инстансах спасет отца русской провайдерской демократии

так:

ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in unreg_only reset

ipfw nat 2 config ip XXX.XXX.XXX.19 log deny_in unreg_only reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY

ipfw nat 1 config ip XXX.XXX.XXX.18 log deny_in unreg_only reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

 

угу

золотое правило, если юзаешь ipfw

юзай столько ната сколько можешь, и всё с deny_in

ну и менеджмент ип отдельный держать от натовских.

если на все доступные ипы повесить nat + deny_in то отпадет управление из мира

[a_n_h 590]

 

 

В большинстве случаев deny_in на всех нат инстансах спасет отца русской провайдерской демократии

так:

ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in unreg_only reset

ipfw nat 2 config ip XXX.XXX.XXX.19 log deny_in unreg_only reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY

ipfw nat 1 config ip XXX.XXX.XXX.18 log deny_in unreg_only reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

 

угу

золотое правило, если юзаешь ipfw

юзай столько ната сколько можешь, и всё с deny_in

ну и менеджмент ип отдельный держать от натовских.

если на все доступные ипы повесить nat + deny_in то отпадет управление из мира

 

не работает.....

что не правильно:

nat 1 config log ip ${IP_WAN_1} reset deny_in redirect_port tcp 172.25.0.17:YYYY-YYYY YYYY-YYYY

[l1ght 377]

вот кусок рабочей конфиги

pfw nat show config
ipfw nat 5 config ip xxx.xxx.xxx.xxx log deny_in

[a_n_h 590]

 

вот кусок рабочей конфиги

pfw nat show config
ipfw nat 5 config ip xxx.xxx.xxx.xxx log deny_in

у меня 3-и НАТа, один без перенаправления портов работает, а два с перенаправлением портов перестают.

вот мой конфиг:

#NAT_1

${FwCMD} nat 1 config log ip ${IP_WAN_1} reset redirect_port tcp 172.25.0.17:YYYY-YYYY YYYY-YYYY

${FwCMD} add 6000 nat tablearg ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}

 

${FwCMD} add 6001 nat tablearg ip from any to table\(75\) in recv ${WAN_IF}

 

#NAT_2

${FwCMD} nat 2 config log ip ${IP_WAN_2} reset redirect_port tcp 172.25.1.34:YYYY-YYYY YYYY-YYYY

 

#NAT_3

${FwCMD} nat 3 config log ip ${IP_WAN_3} deny_in unreg_only reset

Відредаговано 2017-03-26 16:07:14 a_n_h

[l1ght 377]

по первых reset не нужен

во вторых, я вообще не уверен в конструкции с диапозоном портов

nat nat_number config if nic	redirect_port sctp
	   ip_address [,addr_list] {[port | port-port] [,ports]}

а вижу, должно работать

именно наты перестают работать или порт форвардинг?

[a_n_h 590]

именно наты перестают работать или порт форвардинг?

Наты точно перестают, форвардинг не проверял, система в работе, не хочу надолго останавливать систему. 

Исправлю, интересный эффект, НАТы работают, но глючит DNS.

Відредаговано 2017-03-26 16:03:36 a_n_h

[LV10 281]