forum.opennet.ru - "Защитить NATD от DDOS" (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Защитить NATD от DDOS"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Защитить NATD от DDOS"
Сообщение от G.Y.S. on 18-Сен-04, 13:13 (MSK)
Как защитить NATD от ДДОС атаки из внутренней сети. Во внутренней сети - более 500 ПК, все они ходят через нат (наружу имеею сеточку /26). При заражении нескольких ПК вирями - от них идет громадное количество пакетов по разным портам и адресам, забивая сокеты NATD, при этом интернет с других ПК тоже начинает "тормозить"! Мысли (воспользоваться правилом limit) такие: ipfw add allow ip from any to any via lo0 ipfw add deny ip from any to any 135, 139, 445 и проч "плохие" порты # каждого юзера юзеров добавляем правилом ipfw add 3000 skipto 50000 ip from 192.168.10.xxx to any limit dst-addr 1000 in via ifIN ipfw add 3000 skipto 50000 ip from any to myOUTnet/26 in via ifOUT ipfw add 49999 deny ip from any to any ipfw add 50000 divert natd all from any to any ipfw add 50001 allow from any to any НЕ ПОДХОДИТ если выставлять dst-addr 1000 каджому юзеру - создается ограмное количество димамических правил (особенно при флуде), количество динамических правил исчерпывается (да, его можно поднять sysclt переменной - но все равно - значение не резиновое) и ipfw выдает too many dymanic rules, sorry. При этом другие юзеры которым также добавлено limit dst-addr 1000 уже не попадают в divert. Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Защитить NATD от DDOS, G.Y.S., 19:59 , 20-Сен-04, (1)
- Защитить NATD от DDOS, logka, 20:31 , 20-Сен-04, (2)
- Защитить NATD от DDOS, dawnshade, 10:03 , 21-Сен-04, (3)
  - Защитить NATD от DDOS, G.Y.S., 14:55 , 21-Сен-04, (4)
    - Защитить NATD от DDOS, dawnshade, 15:51 , 21-Сен-04, (5)
      - Защитить NATD от DDOS, toor99, 17:29 , 21-Сен-04, (6)
        
        Защитить NATD от DDOS, Vov, 17:34 , 21-Сен-04, (7)
        
        Защитить NATD от DDOS, toor99, 11:54 , 22-Сен-04, (8)
        
        Защитить NATD от DDOS, A Clockwork Orange, 12:12 , 22-Сен-04, (9)
        
        Защитить NATD от DDOS, toor99, 12:13 , 22-Сен-04, (10)
Защитить NATD от DDOS, Anonym, 18:21 , 23-Сен-04, (11)
- Защитить NATD от DDOS, G.Y.S., 01:39 , 06-Окт-04, (12)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Защитить NATD от DDOS"

Сообщение от G.Y.S. on 20-Сен-04, 19:59  (MSK)

Ну подскажите хоть в какую сторону смотреть,
(покопался в манах ipnat и ipf, там тоже вижу выхода)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Защитить NATD от DDOS"

Сообщение от logka (??) on 20-Сен-04, 20:31  (MSK)

>Ну подскажите хоть в какую сторону смотреть,
>
>(покопался в манах ipnat и ipf, там тоже вижу выхода)

Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж левые соедидения до попадания в nat .
А вообщето как по мне , то 500машин в одной сети многовато... порабы наверное разделять, вешать половину в другую сетевуху.... и тд... мож поможет.
А может у тя и роутер слабинький просто для такого количества тазиков.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Защитить NATD от DDOS"

Сообщение от dawnshade on 21-Сен-04, 10:03  (MSK)

может man ipfw / limit поможет отцу русской демократии??

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Защитить NATD от DDOS"

Сообщение от G.Y.S. on 21-Сен-04, 14:55  (MSK)

>может man ipfw / limit поможет отцу русской демократии??
нет не поможет, я написал почему.
>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
все порты не закроешь, это конечно выход но только отчасти

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Защитить NATD от DDOS"

Сообщение от dawnshade on 21-Сен-04, 15:51  (MSK)

>>может man ipfw / limit поможет отцу русской демократии??
>
>нет не поможет, я написал почему.
Понял, плохо читал.
>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
>все порты не закроешь, это конечно выход но только отчасти
Эт почему это? IPFW_DEFAULT_TO_DENY

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Защитить NATD от DDOS"

Сообщение от toor99 (??) on 21-Сен-04, 17:29  (MSK)

>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
>>все порты не закроешь, это конечно выход но только отчасти
>
>Эт почему это? IPFW_DEFAULT_TO_DENY
Потому что default_to_deny добавляется в конец правил.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Защитить NATD от DDOS"

Сообщение от Vov on 21-Сен-04, 17:34  (MSK)

>>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
>>>все порты не закроешь, это конечно выход но только отчасти
>>
>>Эт почему это? IPFW_DEFAULT_TO_DENY
>
>Потому что default_to_deny добавляется в конец правил.
Неверный ответ. default_to_deny означает, что все изначально запрещено, и только открываешь определенные порты.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Защитить NATD от DDOS"

Сообщение от toor99 (??) on 22-Сен-04, 11:54  (MSK)

>>>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat.
>>>>все порты не закроешь, это конечно выход но только отчасти
>>>
>>>Эт почему это? IPFW_DEFAULT_TO_DENY
>>
>>Потому что default_to_deny добавляется в конец правил.
>
>Неверный ответ. default_to_deny означает, что все изначально запрещено, и только открываешь определенные
>порты.
Повторяю для особо продвинутых: опция default_to_deny добавляет правило номер 65535 : deny ip from any to any. Что непонятно?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Защитить NATD от DDOS"

Сообщение от A Clockwork Orange on 22-Сен-04, 12:12  (MSK)

А где такая опция, не нахожу ее

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Защитить NATD от DDOS"

Сообщение от toor99 (??) on 22-Сен-04, 12:13  (MSK)

>А где такая опция, не нахожу ее
А ее там и нету. Она была в старых ядрах (вернее, в файле конфигурации ядра). Сейчас она включена по умолчанию.

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Защитить NATD от DDOS"

Сообщение от Anonym on 23-Сен-04, 18:21  (MSK)

Посмотри ports/net/scand

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Защитить NATD от DDOS"

Сообщение от G.Y.S. on 06-Окт-04, 01:39  (MSK)

>Посмотри ports/net/scand
Интересно. Но неужели нет других вариантов?? Пока вижу только выход - использовать ipnat, где можно задать диапазон и количество используемых портов, (таким огразом уберечься от флуда).
ipnat использовать не хочеться:
1. из-за его проблем с клиентскими "активными соединениями" где нужно "прокить"
2. то что он работает перед ipfw

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Защитить NATD от DDOS"
Сообщение от G.Y.S. on 20-Сен-04, 19:59 (MSK)
Ну подскажите хоть в какую сторону смотреть, (покопался в манах ipnat и ipf, там тоже вижу выхода)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Защитить NATD от DDOS"
	Сообщение от logka (??) on 20-Сен-04, 20:31 (MSK)
	>Ну подскажите хоть в какую сторону смотреть, > >(покопался в манах ipnat и ipf, там тоже вижу выхода) Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж левые соедидения до попадания в nat . А вообщето как по мне , то 500машин в одной сети многовато... порабы наверное разделять, вешать половину в другую сетевуху.... и тд... мож поможет. А может у тя и роутер слабинький просто для такого количества тазиков.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Защитить NATD от DDOS"
	Сообщение от dawnshade on 21-Сен-04, 10:03 (MSK)
	может man ipfw / limit поможет отцу русской демократии??
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Защитить NATD от DDOS"
	Сообщение от G.Y.S. on 21-Сен-04, 14:55 (MSK)
	>может man ipfw / limit поможет отцу русской демократии?? нет не поможет, я написал почему. >Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat. все порты не закроешь, это конечно выход но только отчасти
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Защитить NATD от DDOS"
	Сообщение от dawnshade on 21-Сен-04, 15:51 (MSK)
	>>может man ipfw / limit поможет отцу русской демократии?? > >нет не поможет, я написал почему. Понял, плохо читал. >>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat. >все порты не закроешь, это конечно выход но только отчасти Эт почему это? IPFW_DEFAULT_TO_DENY
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Защитить NATD от DDOS"
	Сообщение от toor99 (??) on 21-Сен-04, 17:29 (MSK)
	>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat. >>все порты не закроешь, это конечно выход но только отчасти > >Эт почему это? IPFW_DEFAULT_TO_DENY Потому что default_to_deny добавляется в конец правил.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Защитить NATD от DDOS"
	Сообщение от Vov on 21-Сен-04, 17:34 (MSK)
	>>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat. >>>все порты не закроешь, это конечно выход но только отчасти >> >>Эт почему это? IPFW_DEFAULT_TO_DENY > >Потому что default_to_deny добавляется в конец правил. Неверный ответ. default_to_deny означает, что все изначально запрещено, и только открываешь определенные порты.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Защитить NATD от DDOS"
	Сообщение от toor99 (??) on 22-Сен-04, 11:54 (MSK)
	>>>>>Попробуй позакрывать ВСЕ ненужные порты. Оставивь лишь нужные. И реж >левые соедидения до попадания в nat. >>>>все порты не закроешь, это конечно выход но только отчасти >>> >>>Эт почему это? IPFW_DEFAULT_TO_DENY >> >>Потому что default_to_deny добавляется в конец правил. > >Неверный ответ. default_to_deny означает, что все изначально запрещено, и только открываешь определенные >порты. Повторяю для особо продвинутых: опция default_to_deny добавляет правило номер 65535 : deny ip from any to any. Что непонятно?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Защитить NATD от DDOS"
	Сообщение от A Clockwork Orange on 22-Сен-04, 12:12 (MSK)
	А где такая опция, не нахожу ее
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Защитить NATD от DDOS"
	Сообщение от toor99 (??) on 22-Сен-04, 12:13 (MSK)
	>А где такая опция, не нахожу ее А ее там и нету. Она была в старых ядрах (вернее, в файле конфигурации ядра). Сейчас она включена по умолчанию.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

11. "Защитить NATD от DDOS"
Сообщение от Anonym on 23-Сен-04, 18:21 (MSK)
Посмотри ports/net/scand
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Защитить NATD от DDOS"
	Сообщение от G.Y.S. on 06-Окт-04, 01:39 (MSK)
	>Посмотри ports/net/scand Интересно. Но неужели нет других вариантов?? Пока вижу только выход - использовать ipnat, где можно задать диапазон и количество используемых портов, (таким огразом уберечься от флуда). ipnat использовать не хочеться: 1. из-за его проблем с клиентскими "активными соединениями" где нужно "прокить" 2. то что он работает перед ipfw
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх