G.Y.S. Опубликовано 18 сентября, 2004 · Жалоба Как защитить NATD от ДДОС атаки из внутренней сети. Во внутренней сети - более 500 ПК, все они ходят через нат (наружу имеею сеточку /26). При заражении нескольких ПК вирями - от них идет громадное количество пакетов по разным портам и адресам, забивая сокеты NATD, при этом интернет с других ПК тоже начинает "тормозить"! Мысли (воспользоваться правилом limit) такие: ipfw add allow ip from any to any via lo0 ipfw add deny ip from any to any 135, 139, 445 и проч "плохие" порты # каждого юзера юзеров добавляем правилом ipfw add 3000 skipto 50000 ip from 192.168.10.xxx to any limit dst-addr 1000 in via ifIN ipfw add 3000 skipto 50000 ip from any to myOUTnet/26 in via ifOUT ipfw add 49999 deny ip from any to any ipfw add 50000 divert natd all from any to any ipfw add 50001 allow from any to any НЕ ПОДХОДИТ если выставлять dst-addr 1000 каджому юзеру - создается ограмное количество димамических правил (особенно при флуде), количество динамических правил исчерпывается (да, его можно поднять sysclt переменной - но все равно - значение не резиновое) и ipfw выдает too many dymanic rules, sorry. При этом другие юзеры которым также добавлено limit dst-addr 1000 уже не попадают в divert. Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 18 сентября, 2004 · Жалоба Во-первых, перейти с natd на ipnat, а во-вторых запретить tcp/udp порты 135,137,138,139,445. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 18 сентября, 2004 · Жалоба ipnat не дотягивает до natd по возможностям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 18 сентября, 2004 · Жалоба ipnat не дотягивает до natd по возможностям. PPPoE решает много проблем. Эту в том числе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 19 сентября, 2004 · Жалоба ipnat не дотягивает до natd по возможностям. Да ну ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 20 сентября, 2004 · Жалоба Ну да. Пробрось за нат несколько pptp-соединений или тех же игрунов к их тырнетным серверам и т.п. и т.д. Ждем ng_nat. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 20 сентября, 2004 · Жалоба :-) А в чем проблема-то ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 20 сентября, 2004 · Жалоба Насчет pptp я ошибался - у ipnat tcnm pptp-proxy. Вроде как год назад у него наблюдались проблемы с h323 и игровыми серверами, когда клиент за натом, а сервер в реальной сетке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 20 сентября, 2004 · Жалоба Уважаемый jab, "Во-первых, перейти с natd на ipnat, а во-вторых запретить tcp/udp порты 135,137,138,139,445" 2. ок 1. сейчас читаю маны к ipnat конечно он быстее будет работать, но как решить ДАННУЮ проблему - пока не вижу. (Может поделишься кусочком ipnat.rules с парой ремарок...) + можно ли использовать ipfw+ipnat ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 20 сентября, 2004 · Жалоба Каспер говорил что нельзя, а уж он в этом вопросе компетентен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 20 сентября, 2004 · Жалоба Можно, но придется поднимать и ipfilter, т.е. пакет пройдет через оба фильтра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 20 сентября, 2004 · Жалоба Можно, но придется поднимать и ipfilter, т.е. пакет пройдет через оба фильтра. ? ОК, подняли ipfilter. Работает ipf, можно даже отключить ipfw. Как сделать subj? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 20 сентября, 2004 · Жалоба http://www.dreamcatcher.ru/docs/ipf3.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 20 сентября, 2004 · Жалоба Инстукция по ipfilter (ipf, ipnat), там к сожалению нет нислова от том как Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)? так же как и в man-ах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 20 сентября, 2004 · Жалоба К заявлениям уважаемого Sultan я могу лишь добавить что у меня ipnat работает в связке с ipfw больше года. Ничего из описанных проблем я за ним не наблюдал. Кроме конечно h323 - гонять его сквозь NAT - это brain damage. Количество клиентов - достаточное. :-) Настройки вполне обычные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 21 сентября, 2004 · Жалоба 2G.Y.S.: Ты смотрел, какой длины пакеты генерит червь? Можно пакеты этой длины загонять ну или iplen от-до направлять в pipe с интересной тебе пропускной способностью. Для этих пакетов еще можно сделать per ip bw limiting. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 21 сентября, 2004 · Жалоба Sultan, хорошая идея. Надо подумать. Их можно просто резать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 22 сентября, 2004 · Жалоба Просто резать - не стоит, т.к. там может быть и безобидный трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 22 сентября, 2004 · Жалоба некоторые операторы, особенно на анлиме, ограничивают количество открытых соединений. Вопрос - как ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 22 сентября, 2004 · Жалоба Statefull firewalling. Смотри тут. Тут и для ipf, и для ipfw есть. Только учти, что одна страничка в браузере - это не одно tcp-соединение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 22 сентября, 2004 · Жалоба Sultan, любые динамические правила тут увы не подходят. syn-flood - и конец (см. выше) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 23 сентября, 2004 · Жалоба Из man ipfw: limit {src-addr | src-port | dst-addr | dst-port} N The firewall will only allow N connections with the same set of parameters as specified in the rule. One or more of source and destination addresses and ports can be specified. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 23 сентября, 2004 · Жалоба ох... Sultan, прочитайте мое самое первое сообщение. Использовать динамические правила (в том числе limit) - я не вижу возможности Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 26 сентября, 2004 · Жалоба А почему никто про PortSentry не вспомнил? Когда у нас пинг в сетке стал подниматься до 2000 мс, пытались с правилами мудрить + уговаривать юзеров антивирусом провериться. Теперь PortSentry просто отрубает хост и все. Jab прав надо запретить порты 135,137,138,139,445 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 29 сентября, 2004 · Жалоба ipnat не дотягивает до natd по возможностям. PPPoE решает много проблем. Эту в том числе. интересно как А почему никто про PortSentry не вспомнил? Когда у нас пинг в сетке стал подниматься до 2000 мс, пытались с правилами мудрить + уговаривать юзеров антивирусом провериться. Теперь PortSentry просто отрубает хост и все. без комментариев, man portsentry По данному вопросу нарыл, что дейсвительно средствами ipnat возможно ограничить количество соединений открываемых юзером например так map fxp0 192.168.1.149/32 -> 200.200.200.1/32 portmap tcp/udp 20000:20099 не совсем удобно но всеже + ipnat вбезусловно более быстрый и гибкий Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...