G.Y.S. Posted September 18, 2004 Posted September 18, 2004 Как защитить NATD от ДДОС атаки из внутренней сети. Во внутренней сети - более 500 ПК, все они ходят через нат (наружу имеею сеточку /26). При заражении нескольких ПК вирями - от них идет громадное количество пакетов по разным портам и адресам, забивая сокеты NATD, при этом интернет с других ПК тоже начинает "тормозить"! Мысли (воспользоваться правилом limit) такие: ipfw add allow ip from any to any via lo0 ipfw add deny ip from any to any 135, 139, 445 и проч "плохие" порты # каждого юзера юзеров добавляем правилом ipfw add 3000 skipto 50000 ip from 192.168.10.xxx to any limit dst-addr 1000 in via ifIN ipfw add 3000 skipto 50000 ip from any to myOUTnet/26 in via ifOUT ipfw add 49999 deny ip from any to any ipfw add 50000 divert natd all from any to any ipfw add 50001 allow from any to any НЕ ПОДХОДИТ если выставлять dst-addr 1000 каджому юзеру - создается ограмное количество димамических правил (особенно при флуде), количество динамических правил исчерпывается (да, его можно поднять sysclt переменной - но все равно - значение не резиновое) и ipfw выдает too many dymanic rules, sorry. При этом другие юзеры которым также добавлено limit dst-addr 1000 уже не попадают в divert. Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)? Вставить ник Quote
jab Posted September 18, 2004 Posted September 18, 2004 Во-первых, перейти с natd на ipnat, а во-вторых запретить tcp/udp порты 135,137,138,139,445. Вставить ник Quote
Guest Posted September 18, 2004 Posted September 18, 2004 ipnat не дотягивает до natd по возможностям. Вставить ник Quote
Roman Ivanov Posted September 18, 2004 Posted September 18, 2004 ipnat не дотягивает до natd по возможностям. PPPoE решает много проблем. Эту в том числе. Вставить ник Quote
jab Posted September 19, 2004 Posted September 19, 2004 ipnat не дотягивает до natd по возможностям. Да ну ? Вставить ник Quote
Sultan Posted September 20, 2004 Posted September 20, 2004 Ну да. Пробрось за нат несколько pptp-соединений или тех же игрунов к их тырнетным серверам и т.п. и т.д. Ждем ng_nat. Вставить ник Quote
Sultan Posted September 20, 2004 Posted September 20, 2004 Насчет pptp я ошибался - у ipnat tcnm pptp-proxy. Вроде как год назад у него наблюдались проблемы с h323 и игровыми серверами, когда клиент за натом, а сервер в реальной сетке. Вставить ник Quote
G.Y.S. Posted September 20, 2004 Author Posted September 20, 2004 Уважаемый jab, "Во-первых, перейти с natd на ipnat, а во-вторых запретить tcp/udp порты 135,137,138,139,445" 2. ок 1. сейчас читаю маны к ipnat конечно он быстее будет работать, но как решить ДАННУЮ проблему - пока не вижу. (Может поделишься кусочком ipnat.rules с парой ремарок...) + можно ли использовать ipfw+ipnat ? Вставить ник Quote
Guest Posted September 20, 2004 Posted September 20, 2004 Каспер говорил что нельзя, а уж он в этом вопросе компетентен. Вставить ник Quote
Sultan Posted September 20, 2004 Posted September 20, 2004 Можно, но придется поднимать и ipfilter, т.е. пакет пройдет через оба фильтра. Вставить ник Quote
G.Y.S. Posted September 20, 2004 Author Posted September 20, 2004 Можно, но придется поднимать и ipfilter, т.е. пакет пройдет через оба фильтра. ? ОК, подняли ipfilter. Работает ipf, можно даже отключить ipfw. Как сделать subj? Вставить ник Quote
Guest Posted September 20, 2004 Posted September 20, 2004 http://www.dreamcatcher.ru/docs/ipf3.html Вставить ник Quote
G.Y.S. Posted September 20, 2004 Author Posted September 20, 2004 Инстукция по ipfilter (ipf, ipnat), там к сожалению нет нислова от том как Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)? так же как и в man-ах Вставить ник Quote
jab Posted September 20, 2004 Posted September 20, 2004 К заявлениям уважаемого Sultan я могу лишь добавить что у меня ipnat работает в связке с ipfw больше года. Ничего из описанных проблем я за ним не наблюдал. Кроме конечно h323 - гонять его сквозь NAT - это brain damage. Количество клиентов - достаточное. :-) Настройки вполне обычные. Вставить ник Quote
Sultan Posted September 21, 2004 Posted September 21, 2004 2G.Y.S.: Ты смотрел, какой длины пакеты генерит червь? Можно пакеты этой длины загонять ну или iplen от-до направлять в pipe с интересной тебе пропускной способностью. Для этих пакетов еще можно сделать per ip bw limiting. Вставить ник Quote
G.Y.S. Posted September 21, 2004 Author Posted September 21, 2004 Sultan, хорошая идея. Надо подумать. Их можно просто резать. Вставить ник Quote
Sultan Posted September 22, 2004 Posted September 22, 2004 Просто резать - не стоит, т.к. там может быть и безобидный трафик. Вставить ник Quote
G.Y.S. Posted September 22, 2004 Author Posted September 22, 2004 некоторые операторы, особенно на анлиме, ограничивают количество открытых соединений. Вопрос - как ? Вставить ник Quote
Sultan Posted September 22, 2004 Posted September 22, 2004 Statefull firewalling. Смотри тут. Тут и для ipf, и для ipfw есть. Только учти, что одна страничка в браузере - это не одно tcp-соединение. Вставить ник Quote
G.Y.S. Posted September 22, 2004 Author Posted September 22, 2004 Sultan, любые динамические правила тут увы не подходят. syn-flood - и конец (см. выше) Вставить ник Quote
Sultan Posted September 23, 2004 Posted September 23, 2004 Из man ipfw: limit {src-addr | src-port | dst-addr | dst-port} N The firewall will only allow N connections with the same set of parameters as specified in the rule. One or more of source and destination addresses and ports can be specified. Вставить ник Quote
Guest Posted September 23, 2004 Posted September 23, 2004 ох... Sultan, прочитайте мое самое первое сообщение. Использовать динамические правила (в том числе limit) - я не вижу возможности Вставить ник Quote
Guest Posted September 26, 2004 Posted September 26, 2004 А почему никто про PortSentry не вспомнил? Когда у нас пинг в сетке стал подниматься до 2000 мс, пытались с правилами мудрить + уговаривать юзеров антивирусом провериться. Теперь PortSentry просто отрубает хост и все. Jab прав надо запретить порты 135,137,138,139,445 Вставить ник Quote
G.Y.S. Posted September 29, 2004 Author Posted September 29, 2004 ipnat не дотягивает до natd по возможностям. PPPoE решает много проблем. Эту в том числе. интересно как А почему никто про PortSentry не вспомнил? Когда у нас пинг в сетке стал подниматься до 2000 мс, пытались с правилами мудрить + уговаривать юзеров антивирусом провериться. Теперь PortSentry просто отрубает хост и все. без комментариев, man portsentry По данному вопросу нарыл, что дейсвительно средствами ipnat возможно ограничить количество соединений открываемых юзером например так map fxp0 192.168.1.149/32 -> 200.200.200.1/32 portmap tcp/udp 20000:20099 не совсем удобно но всеже + ipnat вбезусловно более быстрый и гибкий Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.