> > > > >

Блокирование пакетов iptables

Статус
В этой теме нельзя размещать новые ответы.
Сообщения
191
Рейтинг
63
#1
Если я выставлю подобное, проблем с конектом к серверу и сайту не будет?
Код:
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
 
 
Сообщения
208
Рейтинг
207
#2
alabamaster1337, для чего блочить одни и те же пакеты несколько раз? боишься что долетят?)

ps указывать интерфейс не обязательно
 
  1
Сообщения
71
Рейтинг
76
#3
Из интереса хотелось бы узнать, для чего эти правила?
 
 
Сообщения
71
Рейтинг
76
#5
alabamaster1337, пакеты с неверными флагами и так откидываются, нет смысла блокировать, ты разве что в теории снижаешь немного нагрузку на CPU при обработке таких пакетов ибо они сами по себе отбрасываются на немного более глубоком уровне, но профит от этого находится в районе погрешности.
Да и вообще странный способ защиты, я не специалист, но мне кажется что не кто не производит атаки на tcp стек для загрузки CPU, это неэффективно, куда эффективнее нагружать CPU через конечные приложения, например через веб сервер или HLDS
P.S: статья по ссылке полный бред
 
  5
Сообщения
71
Рейтинг
76
#7
alabamaster1337, от DDoS? я не проверял, но говорят, что только от слабого(на бесплатном тарифе), да и у тебя HLDS же судя по первому посту, они проксируют только HTTP
 
 
Сообщения
86
Рейтинг
42
#8
alabamaster1337, как связан сервис cloudflare для оптимизации скорости загрузки\кэширования сайтов и игровой сервер hlds?
 
  1
Сообщения
62
Рейтинг
140
#12
указывать интерфейс не обязательно
Некоторые версии iptables почему-то не принимают правило, если не указан сетевой интерфейс. Ошибку выдают. Уже не вспомню, какую. Давно их не видел.

alabamaster1337, и как ты собираешься через веб-сервер Клаудфлэра прогонять игровой трафик? Мне реально интересно.
К тому же из-за таких посредников возможно понижение пинга.
 
  1
Сообщения
1
Рейтинг
3
#13
Последнее редактирование модератором:
 
Сообщения
86
Рейтинг
42
#14
alabamaster1337, и как ты собираешься через веб-сервер Клаудфлэра прогонять игровой трафик? Мне реально интересно.
К тому же из-за таких посредников возможно понижение пинга.
никак, он не знает что cloudflare работает только с http\https-протоколами.
врядли человек спрашивающий такие вещи на форуме будет что-то там городить через API Cloudflare)
5 Сен 2018
alabamaster1337, как связан сервис cloudflare для оптимизации скорости загрузки\кэширования сайтов и игровой сервер hlds?
настрой в iptables банальную защиту от query flood или просто rehlds обнови до последней актуальной версии. этого будет достаточно
или на днях выкладывали тут query cacher, для кэширования запросов на игровой сервер, от него толку в разы будет больше всех твоих заморочек с блокировками)
 
  1
Сообщения
191
Рейтинг
63
#15
Я просто хотел узнать не помешаю ли такие правила конекту, я не писал что с помощью cloudflare хочу защитить hlds, меня волнует в общем защита vds, ответ от swank меня устроил, спасибо
 
  1
Статус
В этой теме нельзя размещать новые ответы.
> > > > >