Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
Здравствуйте, замучила проблема с дос атаками, в основном досят 27015 порт.
Железо WL-500GP v1 + FlashRam, прошивка (1.9.2.7-rtn-r3300)
В номинале проц в роуторе загружен 25%, при досе 100% и вся сеть отваливается от интернета.
Пытался обновить прошивку, и не раз.
в post-firewall порты открыты по такому прицепу.
Все порты открыты по аналогии через VSERVER, до недавнего времени и КС сервера так работали, потом пытался найти решение,Code:#CounterStrike iptables -A INPUT -p udp -m udp --dport 27015:27020 -m conntrack --ctstate NEW -m limit --limit 100/sec --limit-burst 100 -j A CCEPT iptables -A INPUT -p udp --dport 27015:27020 -j DROP iptables -t nat -A PREROUTING -p udp -d 213.141.157.254 --dport 27015:27016 -j DNAT --to-destination 192.168.1.11 #TeamSpeak3+Download+Uploads iptables -t nat -A VSERVER -p tcp -m tcp --dport 9987:9997 -j DNAT --to 192.168.1.9 iptables -t nat -A VSERVER -p udp -m udp --dport 9987:9997 -j DNAT --to 192.168.1.9 iptables -t nat -A VSERVER -p tcp -m tcp --dport 30033 -j DNAT --to 192.168.1.9 iptables -t nat -A VSERVER -p tcp -m tcp --dport 10011 -j DNAT --to 192.168.1.9
и наткнулся на (... --limit 100/sec ...) но результатов не дало.
Я так понял что вся сеть падает именно из за того что роутер что то там фильтрует и из за слабенького проца всё вылетает.
И тут много вопросов:
- Есть ли способы противостоять досу ?
- Если же нету способов, можно ли как нибудь по другому открывать порты, чтоб при досе все пакетики шли минуя роутер прям к серверу - пусь один висит.
- Как правильно БАНИТЬ и поможет ли это от ДОСа ? (пробовал вот так банить// iptables -A INPUT -s хх.хх.хх.хх -j DROP //эфекта 0 )?
- Можно ли сделать Логирование в стандартной вебморде более информативное чем простой лог конекта и наблюдение через tcpdump.(ну к примеру показывалось кто досил, кого за дос забанило).?
- Или может существуют более информативные сервисы\пакеты которые могут логировать и банить к дополнению стандартной вебморды.?
p.s. Несколько раз искал по форуму чтоб потом не говорили "искал плохо" возможно и вправду искал плохо, но попадал при запросах (DDOS\DOS\ДОС АТАКА\блокировка адреса) на англоязычные посты или же на темы с количеством постов превышающих за тысячу.
Уже угрозам - "тебя отключат" они не верят, а если и отключить, то всех все равно не перебаню вручную, уж очень их много стало.
UPD значит примерно такое правило должно работать в обход огромной цепочки
минимально загружая роутер. Осталось что нибудь найти для логирования всех атак и авто-бана.Code:iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 27015:27017 -j DNAT --to-destination 192.168.1.11 iptables -A FORWARD -i ppp0 -d 192.168.1.11 -p tcp --dport 27015:27017 -j ACCEPT
Last edited by Omega; 07-06-2012 at 19:39. Reason: fixed
по умолчанию есть такая таблица SECURITY, в которую попадает трафик, если включить DoS protection из web интерфейса.
предлагаю включить и посмотреть (iptables-save), как она используется.
p.s iptables -A добавляет правила к существующим в конец, т.е до добавленных дело может и не дойти, в зависимоти от этих самых существующих
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
При перезагрузке устройства нужно будет повторно делать команду:
?Code:iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
А для кого писали ФАК
tempik aka Mirage-net
Добавлено, однако снаружи так и не заработало.
Может быть кто-то подскажет, какие правила нужно прописать в iptables, чтобы входящие снаружи соединения по порту X перебрасывались на порт Y определенного IP, который тоже находится снаружи?
Настройки вот:
http://wl500g.info/showpost.php?p=242421&postcount=359
Строка
туда добавлена, но не работает.Code:iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Похоже проблема в:
т.к. отбрасываются пакеты-A FORWARD -i ! br0 -o vlan1 -j DROP
Добавляю правило:kernel: DROP IN=vlan1 OUT=vlan1
Но оно добавляется последним в FORWARD, поэтому до него не доходит ход?iptables -A FORWARD -p tcp -i vlan1 -o vlan1 -d xxx.xxx.xxx.xxx -j ACCEPT
Как сделать так, чтобы правило стояло выше, чем запрет:
FORWARD -i ! br0 -o vlan1 -j DROP
Last edited by Omega; 15-01-2012 at 18:34. Reason: fixed
Вот вот, и у меня такая же фигня. Перепробовал много способов, ни один не работает. Мне тоже как и товарищу Satoorn нужно закрыть порты из интернета. Повторяю, не открыть а ЗАКРЫТЬ! Гуру, please help!! Если это не возможно, то скажите сразу, чего тянуть кота за яйца.
короче новый вопрос: при выводе команды iptables-save вот что мне выдало:
Теперь собсна сам вопрос: можно ли каким нибудь способом убрать из файла iptables строчки где открываеться 80, 21 и т.д порты?Code:# Generated by iptables-save v1.3.8 on Sun Jan 15 20:01:56 2012 *nat :PREROUTING ACCEPT [4303:377290] :POSTROUTING ACCEPT [80:5033] :OUTPUT ACCEPT [87:6425] :VSERVER - [0:0] -A PREROUTING -d 193.169.4.220 -j VSERVER -A POSTROUTING -s ! 193.169.4.220 -o vlan1 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE COMMIT # Completed on Sun Jan 15 20:01:56 2012 # Generated by iptables-save v1.3.8 on Sun Jan 15 20:01:56 2012 *mangle :PREROUTING ACCEPT [8734:1632129] :INPUT ACCEPT [1358:191309] :FORWARD ACCEPT [3563:1112594] :OUTPUT ACCEPT [1442:1215040] :POSTROUTING ACCEPT [5089:2348536] COMMIT # Completed on Sun Jan 15 20:01:56 2012 # Generated by iptables-save v1.3.8 on Sun Jan 15 20:01:56 2012 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [292:18364] :OUTPUT ACCEPT [1364:1178248] :BRUTE - [0:0] :MACS - [0:0] :SECURITY - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -i vlan1 -p udp -m udp --dport 27015 -j ACCEPT -A INPUT -i vlan1 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i vlan1 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable -A INPUT -i vlan1 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable -A INPUT -m state --state INVALID -j logdrop -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m state --state NEW -j logaccept -A INPUT -i br0 -m state --state NEW -j logaccept -A INPUT -i vlan1 -m state --state NEW -j SECURITY -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE -A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE -A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j logaccept -A INPUT -j logdrop -A INPUT -d 80.0.0.0 -i vlan1 -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -d 80.0.0.0 -i vlan1 -p tcp -j REJECT --reject-with icmp-port-unreachable -A FORWARD -i br0 -o br0 -j logaccept -A FORWARD -m state --state INVALID -j logdrop -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ! br0 -o vlan1 -j logdrop -A FORWARD -i ! br0 -m state --state NEW -j SECURITY -A FORWARD -m conntrack --ctstate DNAT -j logaccept -A FORWARD -o br0 -j logdrop -A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j logdrop -A BRUTE -m recent --set --name BRUTE --rsource -j logaccept -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A SECURITY -p udp -m limit --limit 5/sec -j RETURN -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN -A SECURITY -j logdrop -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Sun Jan 15 20:01:57 2012
Last edited by Omega; 15-01-2012 at 17:47. Reason: а почитать тему перед тем, как в ней постить, никак ? ;)
Last edited by Omega; 17-01-2012 at 00:55. Reason: fixed
tempik aka Mirage-net
Уважаемые пользователи данной прошивки!
Ну как еще до Вас довести банальные истины???
"Энтузиасты" которые продолжили путь Олега (спасибо им) уже сделали все возможное для двух вещей:
1) По умолчанию прошивка по максимуму защищена извне.
2) Большинство настроек которые нужны 95% пользователей вынесены в веб-морду.
Сделать универсально для всех не выйдет. Если вы хотите большего то не поленитесь изучить матчасть и хотя-бы ФАК этого форума ...
Вопросы которые вы задаете уже не раз обсуждались ... И поймите что копировать код из форума и вставлять его в командную строку терминала (НЕ ПОНИМАЯ ЧТО он значит может обернуться против вас самих) ... Строчки кода приводят для того что бы наглядно показать пример использования команды, а не как непреложное действие ... Вот простой пример (еще из старых *NIX форумов):
просто очистит временную директорию, а командаCode:rm -r /tmp
запущенная под рутом сделает очень плохо ... Просто убьет все ...Code:rm -r / tmp
tempik aka Mirage-net
Разобрался я с этим iptables. Все оказалось намного проще! Дело в том, что я сканировал порты из локальной сети, поэтому они для меня были открыты. Но проверив порты с помощью http://www.t1shopper.com/tools/port-scan/, все сомнения пропали. Товарищ Satoorn, советую Вам тоже воспользоваться приведенным выше сайтом, может у Вас все не так уж и плохо.
Подскажите, пожалуйста, как можно сохранить настройки iptables?
Добавляю специфичные разрешения командой iptables ******, все работает, но после перезагрузки роутера они пропадают.
Роутер: WL-500gP
Прошивка: WL500gp-1.9.2.7-d-r2624
В Linux очень не силен...
Заранее спасибы за ответы!
Сначала изучить http://wl500g.info/showthread.php?t=15068 ... если не поможет поиск по форуму "post-firewall"
tempik aka Mirage-net