Блокирование пакетов iptables

alabamaster1337 · 4 Сен 2018

Если я выставлю подобное, проблем с конектом к серверу и сайту не будет?

Код:

iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

neygomon · 4 Сен 2018

alabamaster1337, для чего блочить одни и те же пакеты несколько раз? боишься что долетят?)

ps указывать интерфейс не обязательно

swank · 4 Сен 2018

Из интереса хотелось бы узнать, для чего эти правила?

alabamaster1337 · 4 Сен 2018

neygomon, swank,
Блокирование пакетов с неверными TCP флагами
Фильтруем атаки на сетевом\транспортном уровне
Тут нашел

https://defcon.ru/web-security/2860/

swank · 4 Сен 2018

alabamaster1337, пакеты с неверными флагами и так откидываются, нет смысла блокировать, ты разве что в теории снижаешь немного нагрузку на CPU при обработке таких пакетов ибо они сами по себе отбрасываются на немного более глубоком уровне, но профит от этого находится в районе погрешности.
Да и вообще странный способ защиты, я не специалист, но мне кажется что не кто не производит атаки на tcp стек для загрузки CPU, это неэффективно, куда эффективнее нагружать CPU через конечные приложения, например через веб сервер или HLDS
P.S: статья по ссылке полный бред

alabamaster1337 · 4 Сен 2018

swank, понял, спасибо
Может знаешь сервис cloudflare, он спасает?

swank · 4 Сен 2018

alabamaster1337, от DDoS? я не проверял, но говорят, что только от слабого(на бесплатном тарифе), да и у тебя HLDS же судя по первому посту, они проксируют только HTTP

ifx · 4 Сен 2018

alabamaster1337, как связан сервис cloudflare для оптимизации скорости загрузки\кэширования сайтов и игровой сервер hlds?

alabamaster1337 · 4 Сен 2018

ifx,

swank написал(а):
куда эффективнее нагружать CPU через конечные приложения, например через веб сервер

ifx · 5 Сен 2018

alabamaster1337, ты сам-то понял, что скопировал и в чем был мой вопрос? :)

alabamaster1337 · 5 Сен 2018

ifx, у cloudflare есть фаервол

CrazyHackGUT · 5 Сен 2018

neygomon написал(а):
указывать интерфейс не обязательно

Некоторые версии iptables почему-то не принимают правило, если не указан сетевой интерфейс. Ошибку выдают. Уже не вспомню, какую. Давно их не видел.

alabamaster1337, и как ты собираешься через веб-сервер Клаудфлэра прогонять игровой трафик? Мне реально интересно.
К тому же из-за таких посредников возможно понижение пинга.

RiasGG · 5 Сен 2018

alabamaster1337 написал(а):
ifx, у cloudflare есть фаервол

И что? Тебе же сказали, кф предоставляет защиту только для сайтов грубо говоря.
А по твоим правилам - нет, не будет проблем.

ifx · 5 Сен 2018

alabamaster1337, и как ты собираешься через веб-сервер Клаудфлэра прогонять игровой трафик? Мне реально интересно.
К тому же из-за таких посредников возможно понижение пинга.

никак, он не знает что cloudflare работает только с http\https-протоколами.
врядли человек спрашивающий такие вещи на форуме будет что-то там городить через API Cloudflare)

5 Сен 2018

alabamaster1337 написал(а):
ifx, у cloudflare есть фаервол

ifx написал(а):
alabamaster1337, как связан сервис cloudflare для оптимизации скорости загрузки\кэширования сайтов и игровой сервер hlds?

настрой в iptables банальную защиту от query flood или просто rehlds обнови до последней актуальной версии. этого будет достаточно
или на днях выкладывали тут query cacher, для кэширования запросов на игровой сервер, от него толку в разы будет больше всех твоих заморочек с блокировками)

alabamaster1337 · 5 Сен 2018

Я просто хотел узнать не помешаю ли такие правила конекту, я не писал что с помощью cloudflare хочу защитить hlds, меня волнует в общем защита vds, ответ от swank меня устроил, спасибо