[G.Y.S.]

Как защитить NATD от ДДОС атаки из внутренней сети.

Во внутренней сети - более 500 ПК, все они ходят через нат (наружу имеею сеточку /26).

При заражении нескольких ПК вирями - от них идет громадное количество пакетов по разным портам и адресам, забивая сокеты NATD, при этом интернет с других ПК тоже начинает "тормозить"!

Мысли (воспользоваться правилом limit) такие:

ipfw add allow ip from any to any via lo0

ipfw add deny ip from any to any 135, 139, 445 и проч "плохие" порты

# каждого юзера юзеров добавляем правилом

ipfw add 3000 skipto 50000 ip from 192.168.10.xxx to any limit dst-addr 1000 in via ifIN

ipfw add 3000 skipto 50000 ip from any to myOUTnet/26 in via ifOUT

ipfw add 49999 deny ip from any to any

ipfw add 50000 divert natd all from any to any

ipfw add 50001 allow from any to any

 

НЕ ПОДХОДИТ

если выставлять dst-addr 1000 каджому юзеру - создается ограмное количество димамических правил (особенно при флуде), количество динамических правил исчерпывается (да, его можно поднять sysclt переменной - но все равно - значение не резиновое) и ipfw выдает too many dymanic rules, sorry. При этом другие юзеры которым также добавлено limit dst-addr 1000 уже не попадают в divert.

 

Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)?

[jab]

Во-первых, перейти с natd на ipnat, а во-вторых запретить tcp/udp порты 135,137,138,139,445.

[Гость]

ipnat не дотягивает до natd по возможностям.

[Roman Ivanov]

ipnat не дотягивает до natd по возможностям.

 

PPPoE решает много проблем.

Эту в том числе.

[jab]

ipnat не дотягивает до natd по возможностям.

 

Да ну ?

[Sultan]

Ну да. Пробрось за нат несколько pptp-соединений или тех же игрунов к их тырнетным серверам и т.п. и т.д. Ждем ng_nat.

[jab]

:-) А в чем проблема-то ?

[Sultan]

Насчет pptp я ошибался - у ipnat tcnm pptp-proxy. Вроде как год назад у него наблюдались проблемы с h323 и игровыми серверами, когда клиент за натом, а сервер в реальной сетке.

[G.Y.S.]

Уважаемый jab,

"Во-первых, перейти с natd на ipnat, а во-вторых запретить tcp/udp порты 135,137,138,139,445"

 

2. ок

1. сейчас читаю маны к ipnat

конечно он быстее будет работать, но как решить ДАННУЮ проблему - пока не вижу. (Может поделишься кусочком ipnat.rules с парой ремарок...)

+ можно ли использовать ipfw+ipnat ?

[Гость]

Каспер говорил что нельзя, а уж он в этом вопросе компетентен.

[Sultan]

Можно, но придется поднимать и ipfilter, т.е. пакет пройдет через оба фильтра.

[G.Y.S.]

Можно, но придется поднимать и ipfilter, т.е. пакет пройдет через оба фильтра.

?

ОК, подняли ipfilter. Работает ipf, можно даже отключить ipfw. Как сделать subj?

[Гость]

http://www.dreamcatcher.ru/docs/ipf3.html

[G.Y.S.]

Инстукция по ipfilter (ipf, ipnat),

там к сожалению нет нислова от том как

Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)?

 

так же как и в man-ах

[jab]

К заявлениям уважаемого Sultan я могу лишь добавить что у меня ipnat работает

в связке с ipfw больше года. Ничего из описанных проблем я за ним не наблюдал. Кроме конечно h323 -

гонять его сквозь NAT - это brain damage. Количество клиентов - достаточное. :-)

 

Настройки вполне обычные.

[Sultan]

2G.Y.S.: Ты смотрел, какой длины пакеты генерит червь? Можно пакеты этой длины загонять ну или iplen от-до направлять в pipe с интересной тебе пропускной способностью. Для этих пакетов еще можно сделать per ip bw limiting.

[G.Y.S.]

Sultan, хорошая идея.

Надо подумать.

Их можно просто резать.

[Sultan]

Просто резать - не стоит, т.к. там может быть и безобидный трафик.

[G.Y.S.]

некоторые операторы, особенно на анлиме,

ограничивают количество открытых соединений.

 

Вопрос - как ?

[Sultan]

Statefull firewalling. Смотри тут. Тут и для ipf, и для ipfw есть. Только учти, что одна страничка в браузере - это не одно tcp-соединение.

[G.Y.S.]

Sultan, любые динамические правила тут увы не подходят.

 

syn-flood - и конец (см. выше)

[Sultan]

Из man ipfw:

limit {src-addr | src-port | dst-addr | dst-port} N

The firewall will only allow N connections with the same set of

parameters as specified in the rule. One or more of source and

destination addresses and ports can be specified.

[Гость]

ох...

Sultan, прочитайте мое самое первое сообщение.

Использовать динамические правила (в том числе limit) - я не вижу возможности

[Гость]

А почему никто про PortSentry не вспомнил?

Когда у нас пинг в сетке стал подниматься до 2000 мс,

пытались с правилами мудрить + уговаривать юзеров антивирусом

провериться.

Теперь PortSentry просто отрубает хост и все.

 

Jab прав надо запретить порты 135,137,138,139,445

[G.Y.S.]

ipnat не дотягивает до natd по возможностям.

 

PPPoE решает много проблем.

Эту в том числе.

 

интересно как

 

А почему никто про PortSentry не вспомнил?

Когда у нас пинг в сетке стал подниматься до 2000 мс,

пытались с правилами мудрить + уговаривать юзеров антивирусом

провериться.

Теперь PortSentry просто отрубает хост и все.

без комментариев, man portsentry

 

По данному вопросу нарыл, что дейсвительно средствами ipnat возможно ограничить количество соединений открываемых юзером например так

map fxp0 192.168.1.149/32 -> 200.200.200.1/32 portmap tcp/udp 20000:20099

не совсем удобно но всеже

+ ipnat вбезусловно более быстрый и гибкий