https://www.opennet.ru/openforum/vsluhforumID10/5368.html Коротко. Недавно столкнулся с проблемой DoS атакой. Решил попробовать свои силы, толку не хватает. До чего дошёл:<br>Мои правила в iptables<br>(По умолчанию цепочка INPUT - разрешена)<br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m state --state RELATED,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT<br>iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT<br>iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -j DROP<br><br>Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, знатоки!<br>http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт https://www.opennet.ru/openforum/vsluhforumID10/5368.html#5 Sun, 13 Mar 2016 15:54:19 GMT &gt;[оверквотинг удален]<br>&gt; iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT <br>&gt; iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 <br>&gt; -m state --state NEW -m recent --update --seconds 30 --hitcount 20 <br>&gt; -j DROP <br>&gt; iptables -A INPUT -p udp -m multiport --dports 21997,27016,9999,8888,27017,27018 -m hashlimit <br>&gt; --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j <br>&gt; ACCEPT <br>&gt; iptables -A INPUT -j DROP <br>&gt; Но проблема в том, что TCP перестаёт работать, я не разобрался, почему <br>&gt; так <br><br>Надо добавить разрешающее правило для NEW<br>&gt; iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 <br>&gt; -m state --state NEW -m recent --update --seconds 30 --hitcount 20 <br>&gt; -j DROP<br><br>iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 -m state --state NEW -j ACCEPT<br> https://www.opennet.ru/openforum/vsluhforumID10/5368.html#4 Sat, 12 Mar 2016 16:16:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 25/minute --limit-burst 100 -j ACCEPT <br>&gt;&gt; iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT <br>&gt;&gt; iptables -A INPUT -j DROP <br>&gt;&gt; Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо <br>&gt;&gt; не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством <br>&gt;&gt; UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, <br>&gt;&gt; знатоки!<br>&gt;&gt; http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?<br>&gt; Еще можно посмотреть в сторону модуля recent <br>&gt; http://wiki.opennet.ru/Iptables_-m_recent <br><br>В общем собрал небольшую штучку:<br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -p tcp -m multiport --dports 22,21,80,21997,27016,9999,8888,27017,27018 -m state --state NEW -m recent --update --seconds 30 --hitcount 20 -j DROP<br>iptables -A INPUT -p udp -m multiport --dports 21997,27016,9999,8888,27017,27018 -m hashlimit --hashlimit 50 https://www.opennet.ru/openforum/vsluhforumID10/5368.html#3 Fri, 11 Mar 2016 17:08:17 GMT &gt;[оверквотинг удален]<br>&gt; 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT <br>&gt; iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit <br>&gt; 25/minute --limit-burst 100 -j ACCEPT <br>&gt; iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT <br>&gt; iptables -A INPUT -j DROP <br>&gt; Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо <br>&gt; не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством <br>&gt; UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, <br>&gt; знатоки!<br>&gt; http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?<br><br>Еще можно посмотреть в сторону модуля recent<br>http://wiki.opennet.ru/Iptables_-m_recent<br> https://www.opennet.ru/openforum/vsluhforumID10/5368.html#2 Thu, 10 Mar 2016 02:00:03 GMT &gt; Начни с <br>&gt; iptables -P INPUT DROP <br>&gt; iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br>&gt; iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit <br>&gt; 25/minute --limit-burst 100 -j ACCEPT <br>&gt; Не изобретай велосипед, сначала используй примеры и пойми, что там происходит.<br><br>iptables -P INPUT -j DROP - Дропаем все входящие соединения.<br>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT - разрешаем уже установленное соединение.<br>iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT - разрешаем доступ на порты 22,80,27017,27018. Лимит в 100 , после превышения - 25 в минуту<br> https://www.opennet.ru/openforum/vsluhforumID10/5368.html#1 Wed, 09 Mar 2016 21:35:14 GMT Начни с <br><br>iptables -P INPUT DROP<br>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT<br><br>Не изобретай велосипед, сначала используй примеры и пойми, что там происходит.<br>