Контакты для связи с администрацией ресурса www.saloed.net, skype: sa-lo-ed или Email:sal0ed@yandex.ru

 
Сделай свой сайт лучше с порталом saloed.net » Lineage 2 » Мануалы » Мануал IP Tables и Защита от DDoS сервера от Pro Lineage 2

Мануал IP Tables и Защита от DDoS сервера от Pro Lineage 2

 

 

 

IP Tables и Защита от DDoS
Внимание:
Работа с IPT на удаленной машине весьма опасна, не заблокируйте себе доступ к серверу

Вариант №1: Запрет захода со сторонних стран

*Для облегчения польские девелоперы сделали скрипт.
Скачиваем его count.rar [639 b] (cкачиваний: 92) Обязательно настройте страны внутри скрипта!
*Создаем папку /root/ddos
*Вводим: chmod +x count.sh
*Можем настроить страны для которых мы запрещаем соединение, они настраиваются в самом файле, открываем и редактируем.
*Вводим: cd /root/ddos && ./count.sh
*Запустили,скрипт внес изменения в IPtables

P.S: по личному опыту знаю, что в большинстве случаев досят из азии, в основном китай.(самые дешевые сервера для ботнета)

Вариант №2: Настройка соединений

*Так как на одного пользователя приходится - одно соединение с сервером, логично сделать ограничение.
*Для этого воспользуемся "connlimit" модом.
*Вводим: apt-get install user-mode-linux
*Теперь с помощью этого мода ограничим кол-во соединений на порт логина
*Вводим: iptables -A INPUT -p tcp --syn --dport 2106 -m connlimit --connlimit-above 20 -j REJECT
*--connlimit-above 20 - означает, что на логин приходится постепенно 20 соединений и не более
*На гейм-сервер думаю не актуально ставить такое ограничение, при досе свободные места забьются и никто не зайдет
*А вот на порт mysql я бы советовал поставить
*Вводим: iptables -A INPUT -p tcp --syn --dport 3306 -m connlimit --connlimit-above 30 -j REJECT


Вариант №3: Установка правил

*Правил для IPTables в интернете много, но не все вам нужны.
*Я пользовался правилами с allcheats, которые создавались специально для la2 сервера.

#!/bin/sh
IPT=/sbin/iptables
UNIPORTS="1024:65535"
INET_IFACE="eth0"

$IPT -F
$IPT -X
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 2106 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 7777 -j ACCEPT
$IPT -A INPUT -p ICMP -i eth0 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCE
PT
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport 1024:65535 -j AC
CEPT --sports 80,443 ! --syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65535 --sport 21 -j ACCE
PT ! --syn
$IPT -A INPUT -i eth0 -p tcp --dport 2106 -m state --state NEW -m connlimit --connlimit-above 20 -j REJECT
$IPT -P INPUT DROP


Внимание: скрипт работает только для подключения eth0

*Установим эти правила
*Создаем файл .sh
*Пусть он будет расположен здесь: /root/server/ipt.sh
*Заполняем его нашими правилами(см. выше)
*Выдаем ему права на выполнение:
*Вводим: cd /root/server
*Вводим: chmod +x ipt.sh
*И запускаем:
*Вводим: sh ./ipt.sh

Все, ваш сервер полностью готов.

*Вводим: chmod +x count.sh

Связь с автором

Автор: sos96910 от 13-02-2012, 23:25

Своё Спасибо, еще не выражали.
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Комментарии: Оставить комментарий
Наверх
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Дополнения для InstantCMS
 
Copyright © 2009-2015

Дополнения для InstantCMS | Рипы сайтов | Социальные сети