IPFW, простая защита от DDOS

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
SergoMorello
мл. сержант
Сообщения: 70
Зарегистрирован: 2011-04-18 21:53:03

IPFW, простая защита от DDOS

Непрочитанное сообщение SergoMorello » 2018-08-31 16:35:50

Ребят всем привет, можете подсказать как защитить порт от простого ддоса?

Код: Выделить всё

 ipfw add allow ip from any to me...?
я понимаю что надо ограничить количество передаваемых пакетов в еденицу времени, но как это сделать незнаю, кому не трудно дайте примерчик, заранее спс)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

IPFW, простая защита от DDOS

Непрочитанное сообщение Alex Keda » 2018-09-01 20:01:25

кусок одного из конфигов

Код: Выделить всё

 
 # ограничиваем полосу
IdIn="1"
IdOut="2"
IdMail="3"
IdUDP="4"
LanLocal="91.227.16.0/22,77.73.24.0/21" # our lan, gptel lan
BwIn="95"       # Mbit
BwOut="115"     # Mbit
BwMail="1"      # bit/s
BwUDP="32"      # kbit/s

        ${FwCMD} pipe $IdIn config bw ${BwIn}Mbit/s
        ${FwCMD} pipe $IdOut config bw ${BwOut}Mbit/s
        ${FwCMD} pipe $IdMail config bw ${BwMail}bit/s
        ${FwCMD} pipe $IdUDP config bw ${BwUDP}kbit/s
        
        ${FwCMD} add pipe $IdOut ip from me to not $LanLocal
        ${FwCMD} add pipe $IdUDP udp from not $LanLocal to me
        ${FwCMD} add pipe $IdIn ip from not $LanLocal to me
        ${FwCMD} add pipe $IdMail tcp from me to not me 25 not uid mailnull
        # added by lissyara, 2014-07-11 in 09:41 MSK
        # тормозим скорость, ставим задержку пакета в очереди, не более 4 пакетов в очереди разом.
        # по идее, получается не более 8 пакетов в секунду
        #${FwCMD} pipe 100 config bw 100bit/s delay 100 queue 32
        #${FwCMD} add pipe 100 tcp from me to not $LanLocal 80
Убей их всех! Бог потом рассортирует...

SergoMorello
мл. сержант
Сообщения: 70
Зарегистрирован: 2011-04-18 21:53:03

IPFW, простая защита от DDOS

Непрочитанное сообщение SergoMorello » 2018-09-02 2:39:38

Alex Keda писал(а):
2018-09-01 20:01:25
кусок одного из конфигов
большое спасибо, отличный пример, но у меня тут ещё одна проблемка образовалась, пожалуйста можете посмотреть, может вы знаете в чём дело, заранее спс viewtopic.php?f=53&t=45199&p=387339#p387339

SergoMorello
мл. сержант
Сообщения: 70
Зарегистрирован: 2011-04-18 21:53:03

IPFW, простая защита от DDOS

Непрочитанное сообщение SergoMorello » 2018-09-26 0:09:16

Alex Keda писал(а):
2018-09-01 20:01:25
кусок одного из конфигов...
я так понял pipe не умеет работать с отдельными портами? или я чего то не так написал?

Код: Выделить всё

ipfw -q pipe 100 config bw 100bit/s delay 100 queue 32
        ipfw -q add pipe 100 tcp from any to me 63392

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

IPFW, простая защита от DDOS

Непрочитанное сообщение Alex Keda » 2018-09-26 9:05:41

счётчики смотрите - что где проходит
а порты и у меня в примере есть.
вполне очевидный вывод - что всё работает
Убей их всех! Бог потом рассортирует...

SergoMorello
мл. сержант
Сообщения: 70
Зарегистрирован: 2011-04-18 21:53:03

IPFW, простая защита от DDOS

Непрочитанное сообщение SergoMorello » 2018-09-28 17:30:30

Большое спс, разобрался, просто был конфликт с другими правилами, а точнее нужно было просто отключить:

Код: Выделить всё

net.inet.ip.fw.one_pass