Skocz do zawartości

  • 👋 Witaj na MPCForum!

    Przeglądasz forum jako gość, co oznacza, że wiele świetnych funkcji jest jeszcze przed Tobą! 😎

    • Pełny dostęp do działów i ukrytych treści
    • Możliwość pisania i odpowiadania w tematach
    • System prywatnych wiadomości
    • Zbieranie reputacji i rozwijanie swojego profilu
    • Członkostwo w jednej z największych społeczności graczy

    👉 Dołączenie zajmie Ci mniej niż minutę – a zyskasz znacznie więcej!

    Zarejestruj się teraz

xyz

Diabel1410

Przez Diabel1410
w Kosz

Rekomendowane odpowiedzi

Krzysztofa Mentor

Krzysztofa

Opublikowano
Mentor

Krzysztofa

Opublikowano

To polecam przeczytać a nie te brednie wyssane z palca wjebane w gotowca i wprowadzające ludzi w błąd a niedoświadczeni mogą sobie narobić tylko problemów z dostępem do maszyny, ftp bo te reguły są źle sformułowane....
 

(Po link skasuj gwiazdeczki ;) )

(Opis sposobu limitowania nowych połączeń na porcie 80 na którym głównie chodzą strony WWW)

http://blog.bodhi************zazen.net/linux/prevent-dos-with-iptables/

(Wyjaśnienie działania IPtables z dokładnymi opisami i przykładami)

https://java************pipe.com/iptables-ddos-protection

(Wycinanie ruchu, konfiguracja jądra systemowego)

https://linux************stuffs.wordpress.com/2009/10/25/drop-syncddos-attack/

(Lektura #2)

https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s-firewall-setup

Pozdrawiam i powodzonka...

I jak mamy coś na porcie 80, np apache to najważniejsze żeby ograniczyć liczbę nowych połączeń poprzez:

sudo iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT

+To

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT

To w jakim stanie są dane pakiety

 

Dlaczego? Bo pizgając w ten port ddoser położy Wam także tsa itp... Bo DDoser powie "PAKIECIKI ZAPIERDALAĆ NA TEN SERWEREK!!, I MILIONY ICH DO WAS PRZYJDZIE I NIE BEDZIE MIEJSCA NA TE DOBRE PAKIECIKI! A WASZ SERWER POWIE, WBIJAC WBIJAC, NIE MA PROBLEMU, A POTEM P******E NIE ROBIE I TYLE BEDZIE Z WASZEGO SERERA HEHEHEHEHEHEHE"
 

Cała lista podstawowych regułek dla DNSów i portu 80 czyli apache:

-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/sec \
--limit-burst 50 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 50/min \
--limit-burst 200 -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT

Więcej regułek z okładnym opisem każdej i każdą metodą ataków z opisem jak się przed danym floodem chociaż w jakimś stopniu zabezpieczyć znajdziecie pod pod tamtymi linkami, nie jest to żadna reklama..

@@@@ edit

Dobra..... tutaj cała gotowa paczka, zanim ją wkleicie polecam przeczytać lekturę...
 

### 1: Drop invalid packets ###
/sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP

### 2: Drop TCP packets that are new and are not SYN ###
/sbin/iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

### 3: Drop SYN packets with suspicious MSS value ###
/sbin/iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP

### 4: Block packets with bogus TCP flags ###
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
/sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

### 5: Block spoofed packets ###
/sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
/sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP

### 6: Drop ICMP (you usually don't need this protocol) ###
/sbin/iptables -t mangle -A PREROUTING -p icmp -j DROP

### 7: Drop fragments in all chains ###
/sbin/iptables -t mangle -A PREROUTING -f -j DROP

### 8: Limit connections per source IP ###
/sbin/iptables -A INPUT -p tcp -m connlimit --connlimit-above 111 -j REJECT --reject-with tcp-reset

### 9: Limit RST packets ###
/sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit 2/s --limit-burst 2 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP

### 10: Limit new TCP connections per second per source IP ###
/sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit --limit 60/s --limit-burst 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP

### 11: Use SYNPROXY on all ports (disables connection limiting rule) ###
#/sbin/iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack
#/sbin/iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
#/sbin/iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

+ 2 dodatkowe zabezpieczające serwer przed atakami brute-force i przed skanowaniem portów co jest dość ważnym aspektem
 

### SSH brute-force protection ###
/sbin/iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --set
/sbin/iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

### Protection against port scanning ###
/sbin/iptables -N port-scanning
/sbin/iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN
/sbin/iptables -A port-scanning -j DROP

(komendy sprawdzające obecne regułki żeby nie zrobić bałaganu sobie)iptables -vL -t filteriptables -vL -t natiptables -vL -t mangleiptables -vL -t rawiptables -vL -t security

80f1ec5b80.jpg

To jest tylko podstawowy programowy sposób i nigdy Wam to nie zastąpi prawdziwych firewalli sprzętowych!

(Regułki można sobie zapisać w pliku .sh i odpalić)

Nie wklejać tego wszystkiego na oślep!
COPY/Paste BEZ PRZECZYTANIA ZABRONIONE! xD

Nie ma za co...

 

963711463719651277415.png

|<|®Krzysztofa®|>|




  • 6 miesięcy temu...
mtts. Pasjonat

mtts.

Opublikowano
Pasjonat

mtts.

Opublikowano
1 godzinę temu, Yukiszider napisał:

Dzięki za to użyję na 100%

Szkoda słów, widzisz datę? No właśnie, więc nie rób syfu.

mamut2255 Pomocnik

mamut2255

Opublikowano
Pomocnik

mamut2255

Opublikowano

root@ubuntu:~# ./firewall.sh start
Konfiguracja firewalla rozpoczeta
iptables: Chain already exists.
iptables: Invalid argument. Run `dmesg' for more information.
iptables: Chain already exists.
Konfiguracja firewalla zakonczona
Firewall wlaczony
 czy to juz działa ? czy mam jakis bład

`.Łukasz. Znawca

`.Łukasz.

Opublikowano
Znawca

`.Łukasz.

Opublikowano
55 minut temu, mamut2255 napisał:

root@ubuntu:~# ./firewall.sh start
Konfiguracja firewalla rozpoczeta
iptables: Chain already exists.
iptables: Invalid argument. Run `dmesg' for more information.
iptables: Chain already exists.
Konfiguracja firewalla zakonczona
Firewall wlaczony
 czy to juz działa ? czy mam jakis bład

Działa.

  • 2 tygodnie później...
mtts. Pasjonat

mtts.

Opublikowano
Pasjonat

mtts.

Opublikowano
Dnia 6/8/2017 o 14:50, diegopolska napisał:

Takie zasadnicze pytanie. Co jak mam zmienne ip?

A co to za różnica?

muchomor321 Weteran

muchomor321

Opublikowano
Weteran

muchomor321

Opublikowano

Ten skrypt jest stary nie polecam go używać ts3fuck jest zablokowany na all hostingach już = popsujesz tylko tym stabilność serwera. Dawniej pisałem z administratorem hosteamu i mówił że jak za dużo się pobawisz iptablesami to można coś zbugować z ochroną na hosteam i wtedy na serwer wchodzi łatwiej atak

+ są stare ip regułek gametrackera 

Życie to fabuła. Przestałem bać się wyborów, bo i tak tylko wspomnienia zostają.

https://grzyb.ovh

  • 4 miesiące temu...

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Tematy
×
×
  • Dodaj nową pozycję...