iptables --help

გამარჯობათ რამოდენიმე კითხვა მაქვს ლინუქსზე iptable-სთან დაკავშირებით.
რომელი წესები უნდა დავამატო რომ ფლუდისგან დავიცვა სერვერი?ნუ რათქმაუნდა დიდ შეტევებს არ ვგულისმობ აი პატარა ,ერთი კომპიდან რო გფლუდავენ იმას რო გავუმკლავდე

რაღაცეები ვნახე გუგლში და არ ვიცი სწორედ გავიგე თუ არა .აქ დავწერ და იქნებ მითხრათ რომელი გამიგია სწორედ და რომელი არა

rule 1)

#მაქსიმუმ 40 პარალელური შეერთება თითო იპიდან 80 პორტზე
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 40 -j DROP

როგორც წავიკითხე თუ თითო იპი სერვერის სოკეტს დაუკავშირდება 40-ზე მეტჯერ ეს დაკავშირებები გაითიშება სერვერის მ იერ პასუხის გარეშე.
აქ მაქ ერთი კითხვა,ვთქვათ რაღაცა ორგანიზაციაა სადაც ბევრი კომპები დგას და ამ ორგანიზაციას ერთი ინტერნეტის კაბელი აქ შეყვანილი,შენობის სიგნით ყველა კომპს ხო ერთიდაიგივე გარე ip ექნება?(ანუ ერთმაც რო იმაიმუნოს რამე .სხვა ამ ორგანიზაციიდან სერვერს ვეღარ დუკავშირდება ხომ?ამას როგორ ავუარო გვერდი?თითო ქონექშენი მაკის მიხედვით რო აითვალოს? მარა როგორ ,ეგ არ ვიცი

rule 2)

#თუ უკვე დაკავშირებული იპი 1327 პორტზე აგზავნის პაკეტებს 50/წამში მეტს,მაშინ მისი დაკავშირება გაწყდება
sudo iptables -A INPUT -p tcp --dport 1327 -m state --state RELATED,ESTABLISHED -m limit --limit 50/second -j ACCEPT

აქ კარგად ვერ მივხვდი რას ნისნავს 50/second .წამში 50 tcp პაკეტი?თუ წამში 50 დაკავშირება?
და დაკავშირება გაწყდება თუ უბრლოდ ის ზედმეტი პაკეტი ჩავარდება?

rule 3)

#თუ იპი 10 -ჯერ დაუკავშირდება სერვერს 60 წამის განმავლობაში ,ახალი დაკავშირება გაწყდება
iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

აქ ვერ მივხვდი 10 პარალელური დაკავშირება თუ ჯამში 10 დაკავშირება?ასევე აქ ისევ არი ის პრობლემა რაც პირველ წესში, ორგანიზაციის იპი

rule 4)
#არასწორი პაკეტები (აქ პორტი უნდა?თუ ავტომატურად ყველა პორტზე იგულისხმება?)
sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

აქ როგორც მივხვდი გაყალბებულ ჰედერებიანი tcp პაკეტები გაიფილტრება ხო?




rule 5)
#sync-flood (აქ პორტი უნდა?თუ ავტომატურად ყველა პორტზე იგულისხმება?)
sudo iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

და კიდე ! --syn -რას ნიშნავს?ყველა tcp დაკავშირება ხო sync პაკეტით იწყება ,და ყველა დაკავსირება დაიბლოკება ანუ?


იქნებ მიშველოთ და ამიხსნათ რა ესენი








This post has been edited by nobotro on 17 May 2016, 18:12

nobotro

კი

ეგეთი რულით ვერანაირად, უბრალოდ სესიების რაოდენობას ითვლის და მერე "ტუპად" დროფავს. თუ რაიმე პაბლიკ საიტი / ვებ კომერცია არ არის და ზარალში არ მიდიხარ მაგით, ეგ იმ ორგანიზაციის IT-ს თავის ტკივილი უნდა იყოს, ვისგანაც იფლუდები. ან მაშინ უფრო ჭკვიანი ფილტრი გინდა, რომელიც traffic pattern-ების მიხედვით მოახდენს ფილტრაციას და გაარჩევს რა ფლუდია და რა ლეგიტიმური მოთხოვნა, რასაც უკვე DoS/DDoS mitigation-ში გადავყავართ. Source MAC შეზღუდვები შეგიძლია იგივე L2 broadcast domain პირობებში, routed ქსელში მხოლოდ source IP-ს დაინახავ.

პაკეტი.

ზედმეტი პაკეტი ჩავარდება.

60 წამის განმავლობაში ჯამში სავარაუდოდ, მაგრამ პირველი რული მაგას ხომ აკეთებს უკვე.

--tcp-flags ALL NONE -j DROP - NULL პაკეტების დროფი, --tcp-flags ALL ALL -j DROP - XMAS პაკეტების დროფი.

ზუსტად syn-ით რომ უნდა დაიწყოს (--state NEW არგუმენტი) და ამ დროს მაგ დროშით არ დაიწყო, ისეთი პაკეტები დაიდროფება (ძახილის ნიშანი ლოგიკურ ოპერატორეპში ძირითადად უარყოფას ნიშნავს).

Distortion

მადლობა.
ხო უბრალო პატარა ანტი ფლუდი მინდოდა დიდ შეტევებს ჩემი სერვერი მაინც ვერ გაუძლებს ტესტი ჩავატარე ამაზონის free vps -იდან digitalocean-ის vps ვებ სერვერზე პარალელურად გავუშვი დიდი რაოდენობის ჰტტპ მოთხოვნები ფაილზე და სერვერი გაიჭედა,მგონი ბუფერი გადაივსო ქსელის კარტის თუ რაღაც მაგდაგვარი ხოდა უბრალოდ ამ რულებს გავუწერ ეგრე რო ვერ გაფლუდოს სხვამ სერვერი და ეყოფა.