ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
ben29לא בפורום כעת ת.הצטרפות: 29/08/2008 · הודעות: 331 ·
 

הודעה פורסם: 22/08/2014 - 02:15
נושא ההודעה: iptables ddos

שלום.
לאחרונה התחלתי ללמוד קצת על IPTABLES.
ואני רוצה לדעת כיצד להגן כמה שיותר מהגנת DDOS
שאלתי:
1. יצרתי מגבלה BRUST 500 לפורט 80. האם זה מוגזם?
2. האם יש המלצות כלשהן לסידורי או לדבר מיותרים בהגדרות ?

תודה.
קוד:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m set --set mng src -j ACCEPT
-A INPUT -m set --set country src -j DROP
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 5/min --limit-burst 7 -j LOG --log-prefix "Fragments Packets"
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 5/min --limit-burst 7 -j LOG --log-prefix "NULL Packets"
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 5/min --limit-burst 7 -j LOG --log-prefix "XMAS Packets"
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/min --limit-burst 7 -j LOG --log-prefix "Fin Packets Scan"
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
#ips
-A INPUT -s 178.121.188.37 -m comment --comment HACk -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-A INPUT -p icmp -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT
#-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ftp-data
-A INPUT -p tcp  --dport 20 -j ACCEPT
# ftp
-A INPUT -p tcp  --dport 21 -j ACCEPT
# ssh
-A INPUT -p tcp --dport 7806 -j ACCEPT
#DirectAdmin
-A INPUT -p tcp --dport 2222 -j ACCEPT
# smtp  One per second limt -burst rate of ten
-A INPUT -p tcp --dport 25 --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
-A INPUT -p tcp --dport 25 --syn -j DROP
-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 465 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT
# DNS
-A INPUT -p tcp --dport 53 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
# http
#-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 500 -j ACCEPT
# POP-3
-A INPUT -p tcp --dport 110 -j ACCEPT
-A INPUT -p tcp --dport 995 -j ACCEPT
# identd
-A INPUT -p tcp --dport 113 -j ACCEPT
#imapd
-A INPUT -p tcp --dport 143 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT
# https
-A INPUT -p tcp --dport 443 -j ACCEPT
# mysql
-A INPUT -p tcp --dport 3306 -j ACCEPT
-A INPUT -p udp --dport 3306 -j ACCEPT
#
##Some ports should be denied and logged.
-A INPUT -p tcp --dport 22 -j DROP
-A INPUT -p tcp --dport 1433 -m limit -j LOG --log-prefix "Firewalled packet: MSSQL "
-A INPUT -p tcp --dport 1433 -j DROP
-A INPUT -p tcp --dport 6670 -m limit -j LOG --log-prefix "Firewalled packet: Deepthrt "
-A INPUT -p tcp --dport 6670 -j DROP
-A INPUT -p tcp --dport 6711 -m limit -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp --dport 6711 -j DROP
-A INPUT -p tcp --dport 6712 -m limit -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp --dport 6712 -j DROP
-A INPUT -p tcp --dport 6713 -m limit -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp --dport 6713 -j DROP
-A INPUT -p tcp --dport 12345 -m limit -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp --dport 12345 -j DROP
-A INPUT -p tcp --dport 12346 -m limit -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp --dport 12346 -j DROP
-A INPUT -p tcp --dport 20034 -m limit -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp --dport 20034 -j DROP
-A INPUT -p tcp --dport 31337 -m limit -j LOG --log-prefix "Firewalled packet: BO "
-A INPUT -p tcp --dport 31337 -j DROP
-A INPUT -p tcp --dport 6000  -m limit -j LOG --log-prefix "Firewalled packet: XWin "
-A INPUT -p tcp --dport 6000  -j DROP
#Traceroutes depend on finding a rejected port.  DROP the ones it uses
-A INPUT -p udp --dport 33434:33523 -j DROP
#Don't log ident because it gets hit all the time eg connecting to an irc server
-A INPUT -p tcp --dport 113 -j REJECT
#Don't log igmp.  Some people get too many of these
-A INPUT -p igmp -j REJECT
#Don't log web or ssl because people surfing for long times lose connection
#tracking and cause the system to create a new one, flooding logs.
-A INPUT -p tcp --dport 80 -j REJECT
-A INPUT -p tcp --dport 443 -j REJECT
##Catch all rules.
#iptables reverts to these if it hasn't matched any of the previous rules.
#Log.  There's no point logging noise.  There's too much of it.
#Just log connection requests
-A INPUT -p tcp --syn -m limit --limit 5/minute -j LOG --log-prefix "Firewalled packet:"
-A FORWARD -p tcp --syn -m limit --limit 5/minute -j LOG --log-prefix "Firewalled packet:"
#Reject
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -p all -j DROP
# foward
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset
-A FORWARD -p all -j DROP
#output
-A OUTPUT -p tcp --destination-port 6660:6669 -j DROP
-A OUTPUT -p tcp --destination-port 7000 -j DROP
#SMTP output, only allow mail to send remotely.
-A OUTPUT -m owner --uid-owner mail -p tcp --dport 25 -j ACCEPT
-A OUTPUT -m owner --uid-owner root -p tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -d 127.0.0.1 --dport 25 -j ACCEPT
-A OUTPUT -p tcp --dport 25 -j REJECT

COMMIT
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם מספר ICQ 
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/08/2014 - 11:59
נושא ההודעה:

IPTables הוא לא הכלי המתאים ל DDoS.
כלומר, הוא חוסם אותך בדלת, ולמעשה ה DDoS מצליח בכל מקרה. המטרה היא לחסום את הניסיון תקיפה הרבה לפני כן, לכן אין לו כלים באמת מתאימים לכך בברירת מחדל.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/08/2014 - 13:56
נושא ההודעה:

Anonymous :
IPTables הוא לא הכלי המתאים ל DDoS.
כלומר, הוא חוסם אותך בדלת, ולמעשה ה DDoS מצליח בכל מקרה. המטרה היא לחסום את הניסיון תקיפה הרבה לפני כן, לכן אין לו כלים באמת מתאימים לכך בברירת מחדל.

האם התוצרה של ה IPTABLES נכונה?
האם יש המלצות לשינוי\מחיקה או כל דבר?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. ben29
  2. אורח
  3. אורח