Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Защита от DOS средствами IPtables  (Прочитано 6176 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн pterodaktil

  • Автор темы
  • Активист
  • *
  • Сообщений: 785
  • "Suum cuique" (Каждому свое)
    • Просмотр профиля
Защита от DOS средствами IPtables
« : 02 Июня 2009, 13:25:43 »
Есть шлюз на бубунте. все соединения закрыты кроме pptp (1723 порт) как защититься от DOS.
Читая manы сделал следующее:
Цитировать
# если новое соединение соединение  на 1723 порт  на внешнем интерфейсе идем в цепочку LIMIT
-A INPUT -p tcp -m tcp -m state -i eth0 --dport 1723 --state NEW -j LIMIT
# Если соединений меньше 10/сек пропускаем
-A LIMIT -m limit --limit 10/second -j ACCEPT
# иначе отбрасываем
-A LIMIT -j DROP
Подскажите, как можно запретить  соединения на порт кроме фиксированных диапазонов ip
Одним из примеров громоздкой и бесполезной надстройки является интегрированная система WINDOWS фирмы Microsoft.

(c)Т.Э.Кренкель, А.Г.Коган, А.М. Тараторин. "Персональные ЭВМ в инженерной практике"

Оффлайн valler

  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Re: Защита от DOS средствами IPtables
« Ответ #1 : 02 Июня 2009, 13:47:31 »
iptables -P INPUT DROP - по умолчанию ничего не пропускаем
iptables -A INPUT -p tcp --dport нужный_порт -s подсеть(172.16.0.0/16, к примеру) -j ACCEPT - разрешить из заданной подсети соединяться на нужный порт

если настраиваешь удаленно, делай аккуратно. А то придется идти к шлюзу ножками :)

Оффлайн pterodaktil

  • Автор темы
  • Активист
  • *
  • Сообщений: 785
  • "Suum cuique" (Каждому свое)
    • Просмотр профиля
Re: Защита от DOS средствами IPtables
« Ответ #2 : 02 Июня 2009, 14:09:08 »
Спасибо... так будет логичней... запретить все, а нужное пускать. А то я правил нагородил... :), а можно 4-мя обойтись. 
Т.к. лимит по времени все равно необходим, т.к.  в подсети где висят клиенты, есть еще и посторонние, а адреса даются по dhcp
Одним из примеров громоздкой и бесполезной надстройки является интегрированная система WINDOWS фирмы Microsoft.

(c)Т.Э.Кренкель, А.Г.Коган, А.М. Тараторин. "Персональные ЭВМ в инженерной практике"

Оффлайн xxq

  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Защита от DOS средствами IPtables
« Ответ #3 : 19 Августа 2009, 00:55:48 »
Доброго времени суток. Подскажите пожалуйста новичку в ubuntu как защитить сервер от ddos атак с помощью iptables + snort.

Оффлайн pterodaktil

  • Автор темы
  • Активист
  • *
  • Сообщений: 785
  • "Suum cuique" (Каждому свое)
    • Просмотр профиля
Re: Защита от DOS средствами IPtables
« Ответ #4 : 19 Августа 2009, 10:37:54 »
Доброго времени суток. Подскажите пожалуйста новичку в ubuntu как защитить сервер от ddos атак с помощью iptables + snort.
Ответ был выше:
iptables -P INPUT DROP - по умолчанию ничего не пропускаем
iptables -A INPUT -p tcp --dport нужный_порт -s подсеть(172.16.0.0/16, к примеру) -j ACCEPT - разрешить из заданной подсети соединяться на нужный порт

если настраиваешь удаленно, делай аккуратно. А то придется идти к шлюзу ножками :)
Одним из примеров громоздкой и бесполезной надстройки является интегрированная система WINDOWS фирмы Microsoft.

(c)Т.Э.Кренкель, А.Г.Коган, А.М. Тараторин. "Персональные ЭВМ в инженерной практике"

 

Страница сгенерирована за 0.046 секунд. Запросов: 23.