iptables string ,сетевая модель OSI

[gate]

Доброй новогодней ночи всем участникам форума! )))

Помогите пожалуйста сделать так,чтобы к 80 порту можно было подключиться только по пакетам GET ,который описан в этом привиле :
iptables -A INPUT -p tcp --dport 80 -m string --string 'GET' --algo kmp -j ACCEPT

А все остальные подключения дропались бы

Проблема в том ,что когда я пишу в конце iptables -A INPUT -p tcp --dport 80 -j DROP
у меня вообще не подключается

[AnrDaemon]

Начните с начала - опишите, чего вы хотите достичь, какую проблему решить такими нетривиальными способами.

[gate]

Проблема это - DDoS атака с большим числом ip адресов ,вот логи тестовой атаки :
94.242.51.176 - - [31/Dec/2014:23:57:23 +0400] "A cat is fine too. Desudesudesu~A cat is fine too. Desudesudesu~A cat is fine too. Desudesudesu~A cat is fine too. Desudesudesu~A cat is fine too. Desudesudesu~A cat is fine too. Desudesudesu~A cat is fine ne too. Desudesudesu~A cat is fine too. Desudesudesu~A cat is fine too. Desudesudesu~A cat is fine t" 414 0 "-" "-"


Хочу сделать так,чтобы можно было контролировать пакеты ,то есть допустим в данной ситуации хочу сделать ,чтобы iptables не пропускал ничего кроме пакетов GET и POST ,вот пример их из логов апапча :
 213.87.133.226 - - [31/Dec/2014:21:28:07 +0400] "GET /sysimg/en.png HTTP/1.1" 304 180 "http://arteas.pw/index.php?f=register" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

Как бы я понимаю вот эти правила и они работают ,но не получается сделать связку с исключениями . Работает только DROP ,а если прописать ACCEPT и сделать ниже дроп на все остальное,то работать не будет . :
iptables -A INPUT -p tcp --dport 80 -m string --string 'GET' --algo kmp -j DROP

[koshev]

Пользовательскую цепочку лучше создать.

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

iptables -N HTTP
iptables -A INPUT -p tcp -m tcp --dport 80 -j HTTP
iptables -A HTTP -m string --string 'GET' --algo kmp -j ACCEPT
iptables -A HTTP -j DROP

[gate]

Сайт моментально становится недоступным
Пользователь решил продолжить мысль 01 Января 2015, 11:12:53:Так же попробовал прописать пакет  ,и такой же послать с пакетника , все равно даже вточ-вточ такие же пакеты не проходят

[AnrDaemon]

Во-первых, далеко не все пакеты в HTTP протоколе содержат строку "GET". Даже не все первые пакеты её содержат. Почитайте хоть что-нибудь по протоколу, который вы собираетесь фильтровать, прежде чем что-то фильтровать.

[gate]

Я в курсе ,взял с этого сайта http://ruseller.com/lessons.php?rub=28&id=1726 ,прописал вот так ,для теста :
iptables -N HTTP
iptables -A INPUT -p tcp -m tcp --dport 80 -j HTTP
iptables -A HTTP -m string --string 'GET' --algo kmp -j ACCEPT
iptables -A HTTP -m string --string 'POST' --algo kmp -j ACCEPT
iptables -A HTTP -m string --string 'PUT' --algo kmp -j ACCEPT
iptables -A HTTP -m string --string 'DELETE' --algo kmp -j ACCEPT
iptables -A HTTP -m string --string 'HEAD' --algo kmp -j ACCEPT
iptables -A HTTP -m string --string 'TRACE' --algo kmp -j ACCEPT
iptables -A HTTP -m string --string 'OPTIONS' --algo kmp -j ACCEPT
iptables -A HTTP -j DROP

Все равно сайт не открывает

[AnrDaemon]

Так вот, эти строки будут только в первом пакете HTTP посылки. И все остальные будут у вас сбрасываться, прерывая передачу ещё до начала.

[gate]

А вообще можно сделать ,так чтобы к 80 порту доходили только пакеты http ,другой мусор блокировал бы iptables ? Могу даже заплатить ,очень важный момент для меня

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=255603.msg2021243#msg2021243
Добавьте к этому "сетевая модель OSI".

Сделать можно, если вы поставите перед своим веб-сервером другой веб-сервер, который будет для вас фильтровать трафик.
Оно того стоит?

[chemtech]

gate,
Тут еще про про DDOS много полезных тем
DDOS  site:ubuntu.ru

[gate]

Оно того стоит и стоит даже много . Это атака уровня L7 . У меня есть сложный модуль защиты от DDoS ,но хотелось бы дополнить такими правилами.То есть не реально сделать то ,что я описал выше методом String?

[AnrDaemon]

Оно того не стоит. Если твой веб-сервер не в состоянии игнорировать паразитный трафик, его надо заменить.
Просто послушайся уже доброго совета и изучи тему, после чего ответ на вопрос "Как ты будешь блокировать атаку 7-го уровня на 3-4, который знать не знает про твои приложения?" станет очевиден.

[gate]

Тут дело не в том ,что я не разобрался в теме ),а просто идея возникла ,проверил такое правило
 iptables -A HTTP -m string --string 'POST' --algo kmp -j DROP ,вроде работает,на сайт заходит ,а при регистрации блочит,так как запрос идет POST . сервер у меня 2 x Intel Xeon E5630   8 c/ 16 t 2.53 GHz+ 192 GB ECC 2 x 600 GB SAS , держит атаку в 5000 ботов спокойно , это порядком 5-8MPPS ,фильтрую на входе iptables . Послушаюсь вашего совета) , но если есть идеи по поводу ,что можно сделать еще для увеличения безопасности сервера и защиты от DDoS , можем с вами связаться ,за работу заплачу деньги . Спасибо вам за ответы и советы)!

[AnrDaemon]

Ещё раз: чтобы блокировать АТАКУ ПРИКЛАДНОГО (6-7) УРОВНЯ, нужно ПРИЛОЖЕНИЕ, которое в курсе параметров атаки, либо как минимум - в курсе параметров протокола в достаточной степени, чтобы с высокой вероятностью атаку идентифицировать.
Можете поставить балансер перед вашим апачем, чтобы он раздавал статику и изолировал скрипты от атак на уровне протокола хотя бы.
Хотя если идёт подобный флуд, можно банально сделать в апаче отдельный лог, ловить из него соединения без результатов (без отданного контента) и уже на уровне iptables блокировать обидчиков по IP (iphash, xt_recent).
(Одно не исключает другого, да.)