Нужна помощь в настройке фаервола.

[Лина]

Добрый день или ночь)
Недавно пересел на Ubuntu server 9.10
сейчас на ней крутиться Mysql и Веб сервер и сервер для игрушки. на веб и mysql жалоб нету
столкнулся с такой проблемой.
нужно настроить Ubuntu что бы она фильтровала запросы к порту.
а то какой то умный через программу сразу пытается залогининть около 5 тысяч юзеров. из за чего логин сервер зависает и находиться в 100% загрузке.
возможно поставить фильтрацию ? например поставить что бы с одного айпишника можно было отсылаться не больше 100 запросов в течении пару секунд например. а если это он делает то просто банить на N'e количество времяни
возможно это настроить через iptables ?

[terrible_user]

Да,
вот пример ограничения запросов на подключение к  SSH
http://wiki.enchtex.info/howto/iptables/ssh-guard
соответственно применимо и для любого другого порта

[Лина]

Да,
вот пример ограничения запросов на подключение к  SSH
http://wiki.enchtex.info/howto/iptables/ssh-guard
соответственно применимо и для любого другого порта

Спасибо) еще можешь посоветовать какие меры защиты желательно предпринять ? которые никогда не будут лишними)

[AnrDaemon]

Нормальный пароль (не "маша-вася-петя"), запрет логина рута в SSH.

[Лина]

Написали вот такой фильтр.
вопрос ? что будет по истечении 100 запросов скажем в пределах 10 секунд ? игнорирование последуйщих до следуйщей минуты
и еще как это правило настроить что бы оно слушалось каждого айпи а не всех запросов в целом.
т.е. с 1 Ip адреса могли 100 запросов на авторизацию за 30 секунд.

#!/bin/sh
ALLOWED_PORTS=22,80,3724

# Создание цепочки для защиты логин-сервера
iptables -N realmguard
iptables -A realmguard -m state --state NEW -m recent --name REALM --update --seconds 30 --hitcount 100 -j DROP
iptables -A realmguard -m state --state NEW -m recent --name REALM --set -j ACCEPT
iptables -A realmguard -j ACCEPT

iptables -A INPUT -m multiport -p tcp --dports $ALLOWED_PORTS -j ACCEPT
iptables -A INPUT -p tcp --dport 3724 -j realmguard
iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

# Обратная петля
iptables -I INPUT -i lo -j ACCEPT

[terrible_user]

что будет по истечении 100 запросов скажем в пределах 10 секунд ?...
 как это правило настроить что бы оно слушалось каждого айпи а не всех запросов в целом ....

1) 101 запрос за 10 сек - блокирование,  на 29 сек 102 запрос  -  жди еще ~20 сек
если подключения идут постоянно, то будет пропускать по истечению 30сек с момента последнего, начиная с 101
2) так и работает для каждого ip

[Tokh]

например поставить что бы с одного айпишника можно было отсылаться не больше 100 запросов в течении пару секунд например. а если это он делает то просто банить на N'e количество времяни

Примерно для таких целей можно использовать xinetd. Посмотрите, может это хороший ход.

[Лина]

Поняли причину, нас тупо Ддосят по указному порту.
тот скрипт что выше не помогает.

[Mam(O)n]

Есть ли какая-то однотипность в трафике, которым ддосят? Может поможет -m string в iptables?

[AnrDaemon]

Попробуйте обратиться к провайдеру за помощью.