Skocz do zawartości

[BSD] IPFW - Tablice


Cort

Rekomendowane odpowiedzi

Przeglądając tutoriale o zabezpieczeniach, postanowiłem ułatwić sobie życie tablicami w regułkach. Jak to wygląda w praktyce?

IPF="ipfw -q add"
ipfw -q -f flush

#tablice
$ports = "11002, 13000, 13001, 13002, 13003, 13004, 13005, 3306, 22, 53, 80, 8080, 15000"

#loopback
$IPF 10 allow all from any to any via lo0
$IPF 20 deny all from any to 127.0.0.0/8
$IPF 30 deny all from 127.0.0.0/8 to any
$IPF 40 deny tcp from any to any frag

# stateful
$IPF 50 check-state
$IPF 60 allow tcp from any to any established
$IPF 70 allow all from any to any out keep-state
$IPF 80 allow icmp from any to any

# ipfw - regulki
$IPF 90 allow tcp from any to any $ports in
$IPF 100 allow tcp from any to any $ports out

Jak widzicie w tablicy macie wpisane porty logowania, channeli, sftp/ssh, dns, www, mysql itp. Jeśli chcemy coś zmienić, wystarczy dopisać port! Proste, nie?

Mogę poradzić tutaj coś propos pf'a.

Z doświadczenia wiem, że warto 'odłączyć' protokół UDP - daje nam większą defensywę przed atakami, bo głównie na ten protokół one lecą. Niestety, kosztuje to nas zmianami estetycznymi(nie wyświetla statusu online w cliencie, bądź ja coś źle robię.), ale tak to działa. Na tutorial wpadłem sam, jak chcecie biadolić głupoty, że z epvp/inforge/fora o unixach, to wyłączcie przeglądarki. Szkoda Waszego i Mojego czasu.

ePc0b.jpg

mcn_cc.pl - banda złodziei

;)

Piszę questy na zamówienie - Zostanę questerem na serwerze dedykowanym - Na zlecenie napiszę questy - Zakoduję stronę HTML5/CSS3

Odnośnik do komentarza

Proste i przydatne zastosowanie tablicy, przyda się. Trzeba sprawdzić jakiego portu i pakietów używa client do sprawdzania statusu channela. Niestety ja na tym już się słabiej znam...

Sam podajesz z jakiego portu ma sprawdzać status.

 

Wiesz że to są źle napisane pod ipfw? Przynajmniej tak mi się wydaje. W tych sprawach jestem totalnym amatorem, ale biorąc przykład z Evelenu to mam tak:

 

pf:

tcp_services="{ 3306, 25, 53, 22 }"

 

ipfw:

tcp_services="port,port,port,port,port,port"

 

Odnośnik do komentarza

Wg mnie PF spisuje się najlepiej, i tylko nim należy się zajmować jeśli chodzi o firewalle. Bo aktywacja IPFW tylko po to, by dawać bany na IP jest co najmniej bez sensu.

ePc0b.jpg

mcn_cc.pl - banda złodziei

;)

Piszę questy na zamówienie - Zostanę questerem na serwerze dedykowanym - Na zlecenie napiszę questy - Zakoduję stronę HTML5/CSS3

Odnośnik do komentarza
  • 2 tygodnie później...
  • 6 miesięcy temu...

W dzisiejszych czasach samo ipfw nie wystarczy jak ktoś się uprze ...

 

z tego co wiem był włam na metin2.de i wypłynęły regułki ich PF

lecz warto zainwestować w porządną maszynę z porządnym FW i dostępem do technika 24h/7d bo inaczej się nie ujedzie

 

przykładowo

1.leci ci w serwer 150k zapytań w port logowania to taki ipfw jest bezradny bo po wpisaniu ipfw -r otrzymujemy wykaz ruchu na dedyku który jest w normie i nie widać nic co mogło by się kojarzyć wam z ddos'em

 

a np logowanie nie chodzi

bo jest załadowane poprawnymi zapytaniami wytworzonymi w sposób ''X''

 

i co teraz ?

serwerownia pisze ci ze nie widzą ruchu ponad normę a jednak gracze zalogować się nie mogą

 

i co dalej?

teraz to trzeba czekać aż atakującemu się znudzi i nie pomoże nic nawet ustawienie nawet kolejki logowania dla danego portu, bo on to tak zapycha ze zanim pomiedzy tymi zapytaniami trafi się normalny gracz to będzie gwiazdka w maju zanim się zaloguje na serwer a nawet jak mu się uda po przelogowaniu go wywali z serwera

 

2.lub 1kk (PPS) zapytań w baze również taki ipfw nie pomoże

(SSYN)

 

3. lub duży flood (UDP/UDP-lag)

10 - 250+Gbps (tzn jak ktoś ma dobrą maszynę to 10gbps to mało ale na np większość serwerów to pewnie by wystarczyło)

 

 

do czego zmierzam

ataki DDoS

czy to na serwery www czy serwery od gry

nie są do możliwe zablokowania 100% można zminimalizować ich skutki tak aby nie były mocno odczuwalne dla potencjalnych graczy (ale takie ipfw to kropla w morzu potrzeb)

 

Pozdrawiam

 

P.S

zastanawia mnie jedno bo np blokowanie danego ip wygląda tak

$IPF 120 deny all from 83.11.11.111 to any in
$IPF 130 deny all from 83.11.11.111 to any out
Przykładowy atak ładuje ci ''AJPIKAMI'' tak szybko ze w konsoli masz przysłowiowy ''Matrix''
i teraz co będziesz blokować ręcznie dane IP? (które i tak jest lipne)
bo aby zablokować taki atak trzeba zablokować maszynę główną z której atak wychodzi (a tego IP raczej nie znajdziesz)
(nie pamiętam dokładnie jak to było ale chyba tak się ustawiało ograniczenia połączeń na dany port
$IPF 480 allow udp from any to any 13100 in limit src-addr 20
$IPF 490 allow udp from any to any 13100 out limit src-addr 20
$IPF 500 allow tcp from any to any 13100 in limit src-addr 20
$IPF 510 allow tcp from any to any 13100 out limit src-addr 20)
Odnośnik do komentarza

 

W dzisiejszych czasach samo ipfw nie wystarczy jak ktoś się uprze ...

 

z tego co wiem był włam na metin2.de i wypłynęły regułki ich PF

lecz warto zainwestować w porządną maszynę z porządnym FW i dostępem do technika 24h/7d bo inaczej się nie ujedzie

 

przykładowo

1.leci ci w serwer 150k zapytań w port logowania to taki ipfw jest bezradny bo po wpisaniu ipfw -r otrzymujemy wykaz ruchu na dedyku który jest w normie i nie widać nic co mogło by się kojarzyć wam z ddos'em

 

a np logowanie nie chodzi

bo jest załadowane poprawnymi zapytaniami wytworzonymi w sposób ''X''

 

i co teraz ?

serwerownia pisze ci ze nie widzą ruchu ponad normę a jednak gracze zalogować się nie mogą

 

i co dalej?

teraz to trzeba czekać aż atakującemu się znudzi i nie pomoże nic nawet ustawienie nawet kolejki logowania dla danego portu, bo on to tak zapycha ze zanim pomiedzy tymi zapytaniami trafi się normalny gracz to będzie gwiazdka w maju zanim się zaloguje na serwer a nawet jak mu się uda po przelogowaniu go wywali z serwera

 

2.lub 1kk (PPS) zapytań w baze również taki ipfw nie pomoże

(SSYN)

 

3. lub duży flood (UDP/UDP-lag)

10 - 250+Gbps (tzn jak ktoś ma dobrą maszynę to 10gbps to mało ale na np większość serwerów to pewnie by wystarczyło)

 

 

do czego zmierzam

ataki DDoS

czy to na serwery www czy serwery od gry

nie są do możliwe zablokowania 100% można zminimalizować ich skutki tak aby nie były mocno odczuwalne dla potencjalnych graczy (ale takie ipfw to kropla w morzu potrzeb)

 

Pozdrawiam

 

P.S

zastanawia mnie jedno bo np blokowanie danego ip wygląda tak

$IPF 120 deny all from 83.11.11.111 to any in
$IPF 130 deny all from 83.11.11.111 to any out
Przykładowy atak ładuje ci ''AJPIKAMI'' tak szybko ze w konsoli masz przysłowiowy ''Matrix''
i teraz co będziesz blokować ręcznie dane IP? (które i tak jest lipne)
bo aby zablokować taki atak trzeba zablokować maszynę główną z której atak wychodzi (a tego IP raczej nie znajdziesz)
(nie pamiętam dokładnie jak to było ale chyba tak się ustawiało ograniczenia połączeń na dany port
$IPF 480 allow udp from any to any 13100 in limit src-addr 20

$IPF 490 allow udp from any to any 13100 out limit src-addr 20

$IPF 500 allow tcp from any to any 13100 in limit src-addr 20
$IPF 510 allow tcp from any to any 13100 out limit src-addr 20)

Wypowie się typ co ma skrypty z gimbusiarskiego forum hackerskiego ;x

12vps z ovhowskim łączem 100mb + skrypt UDP w phpku podpięte w jedno pada KAŻDA maszyna na 1gb. Położysz każdy serwer jeśli masz większe łącze od ofiary.

 

Nie ma konkretnej ochrony przed DoSami chyba, że będziesz przekierowywał pakiety na inną maszyne/maszyny lub masz sprzętowego FW

 

Hejty niech lecą :)

 

PS

Nie wiem czemu odpowiadałem Isamu ;x

Odnośnik do komentarza

Wypowie się typ co ma skrypty z gimbusiarskiego forum hackerskiego ;x

12vps z ovhowskim łączem 100mb + skrypt UDP w phpku podpięte w jedno pada KAŻDA maszyna na 1gb. Położysz każdy serwer jeśli masz większe łącze od ofiary.

 

Nie ma konkretnej ochrony przed DoSami chyba, że będziesz przekierowywał pakiety na inną maszyne/maszyny lub masz sprzętowego FW

 

Hejty niech lecą :)

 

PS

Nie wiem czemu odpowiadałem Isamu ;x

jest wiele sposóbów

ale tzw chmura serwerów przed głównym dedykiem to na dzisiejszy dzień spoko rozwiązanie

choć my troche inaczej rozwiązaliśmy ten problem ;P

 

jak się nie przyjmie ddosów na klatę nigdy w życiu człowiek się nie dowie jak to zblokować xD

Odnośnik do komentarza

jest wiele sposóbów

ale tzw chmura serwerów przed głównym dedykiem to na dzisiejszy dzień spoko rozwiązanie

choć my troche inaczej rozwiązaliśmy ten problem ;P

 

jak się nie przyjmie ddosów na klatę nigdy w życiu człowiek się nie dowie jak to zblokować xD

Najlepsze jest to że niektórzy chcą się zabezpieczać przed ddos tutami. Przecież to nic nie da. Bez nauki nie ma nic. Chyba że ktoś urodzi się genialny i wszystko będzie wiedział.

To tak samo jakby twój technik się nie znał co jest totalną bzdurą. Musiał się od kogoś nauczyć ale nie wszystkiego na tutach od profesjonalistów.

Do czego zmierzam? Nie da się dobrze zabezpieczyć na poradnikach ( O ile wgl się da ) Trzeba pierw mieć umiejętności i coś wiedzieć na ten temat + przeżyć to tak jak napisałeś na własnej skórze.

 

Tak mi się zdaje, a jakie wasze zdanie to nie mój problem.

astiumsign.png


Odnośnik do komentarza

jest wiele sposóbów

ale tzw chmura serwerów przed głównym dedykiem to na dzisiejszy dzień spoko rozwiązanie

choć my troche inaczej rozwiązaliśmy ten problem ;P

 

jak się nie przyjmie ddosów na klatę nigdy w życiu człowiek się nie dowie jak to zblokować xD

 

Po przeczytaniu tej wiadomości poszedłem testować wasze zabezpieczenie łączem 1g na 5sec to nic się nie działo. Nie chciałem was uziemić (nawet nie próbowałem). Kiedyś chciałem pomóc jednemu serwerowi to sądem straszyli. Myślę, że isamu to porządna firma :D

Odnośnik do komentarza

 

Po przeczytaniu tej wiadomości poszedłem testować wasze zabezpieczenie łączem 1g na 5sec to nic się nie działo. Nie chciałem was uziemić (nawet nie próbowałem). Kiedyś chciałem pomóc jednemu serwerowi to sądem straszyli. Myślę, że isamu to porządna firma :D

A ja się cieszę, że ogólnie kogoś starej daty widać na forum :D

Odnośnik do komentarza

@QBA_96

To Ty żyjesz? xP

 

@isamu

Isamu to porządna firma :)

Tego to jestem pewien.

 

@topic

 

Jak już było mówione PF, sprawuje się zdecydowanie lepiej ;x

 

@FW z OVH

Może zostawię to bez komentarza. Dziękuję.

 

@Odnośnie ddosów itd.

 

Zabezpieczyć przed DDOS'em, może i się da tylko na ile? :)

 

Patrząc na dzisiejszą "sytuację" serwerów, największe ataki idą na starcie (co jest uzasadnione).

Przetrzymamy to, to mamy z górki, prawda? :)

 

Tak jak Isamu wspominał server-cloud "teoretycznie" też dają radę, lecz jak się ma co najmniej dwa "pokaźne" sprzęty, to ładnie można to np. obijać. (chociaż to i tak nie kończy się 100% powodzeniem)

Tutaj chyba największą rolę odgrywa LIVE support serwerowni, przepinając nam karty sieciowe, odłączając je, przekierowując odpowiednie pakiety itp.

 

No ale jakiś spory botnet robi grę :)

Szczególnie z jakiś szybkich łączy itp. itd.

 

Jak pewnie się orientujecie jest sporo wyjść, potrzebujemy tylko czas,chęci no i pieniądze.

 

Z mojego doświadczenia, mam też kilka swoich "chwytów".

Może inni też ich używają.

Kto ich tam wie.

 

Pozdrawiam.

Odnośnik do komentarza

Ja tam nie wiem czy są za to jakieś poważne kary. niby są ale powinno być tak że każda próba jakiejkolwiek szkody na niekorzyść kogoś, grozi więzieniem.

Nie powinno się tolerować takiego czegoś.

 

@Pyt: Czy firmy takie jak hosteam gwarantują nam jakąś ochronę? Nie tylko bulenie kasy na dodatkowe fw. Czy pomagają nam odeprzeć ataki itp>

Nie wiem bo nigdy nie miałem okazji kupić żadnej maszyny więc się pytam.

astiumsign.png


Odnośnik do komentarza

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający forum [BSD] IPFW   0 użytkowników
    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...