gsmail Опубликовано 13 октября, 2013 · Жалоба На linux под Centos стоит Quagga При Syn Flood одного клиента на сервер, где Quagga, ksoftirqd грузит 100% ядра и весь трафик глючит. iptables пустой Помогает только ip route XXX.XXX.XXX.XXX/32 Null0 в ручную. Что можно сделать, чтоб роутер не тормозил? Можете ли отключение iptables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 14 октября, 2013 · Жалоба http://serverfault.com/questions/459607/tune-linux-kernel-against-syn-flood-attack http://nixcraft.com/networking-firewalls-security/16864-linux-howto-test-stop-syn-flood-attacks.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 14 октября, 2013 · Жалоба Насколько я понимаю, то что вы скинули касается атакуемого сервера, а не роутера, который тормозит из-за большого количества пакетов в единицу времени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 14 октября, 2013 · Жалоба При Syn Flood одного клиента на сервер, где Quagga, ksoftirqd грузит 100% ядра и весь трафик глючит. Насколько я понимаю, то что вы скинули касается атакуемого сервера, а не роутера, который тормозит из-за большого количества пакетов в единицу времени. Если флуд не транзитный, то роутеру плохо не потому, что он роутер, а потому, что он сервер с Кваггой. Как роутеру ему поможет отключение conntrack'a. Вообще здесь полфорума забито рассказами, как оптимизировать Линукс на шлюзе. Начинайте читать, тогда поймете хотя бы, какие сведения нужно сообщать, чтобы Вам сумели помочь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 14 октября, 2013 · Жалоба Если флуд не транзитный, то роутеру плохо не потому, что он роутер, а потому, что он сервер с Кваггой. Я же написал, что флуд на сервер клиента, а тормозит роутер. Я много всего почитал, но ничего не смог применить в моем случае. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 октября, 2013 · Жалоба Если флуд не транзитный, то роутеру плохо не потому, что он роутер, а потому, что он сервер с Кваггой. Я же написал, что флуд на сервер клиента, а тормозит роутер. Я много всего почитал, но ничего не смог применить в моем случае. Значит у вас на роутере запущен conntrack. Так? Если роутер не делает NAT, то conntack нужно выгрузить или(если есть NAT) отменить его для того трафика, где он не нужен (iptables raw) Клиент за NAT-ом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 14 октября, 2013 · Жалоба При Syn Flood одного клиента на сервер Я же написал, что флуд на сервер клиента "Кто на ком стоял?"(с) На маршрутизаторе отключите conntrack, т.е. не используйте nat и -m state. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 14 октября, 2013 · Жалоба А как выгрузить conntrack Iptables на роутере пустой и не используется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 14 октября, 2013 · Жалоба сначала надо проверить что он загружен lsmod | grep nf lsmod | grep ipt выгружать - rmmod Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 14 октября, 2013 (изменено) · Жалоба [root@gw ~]# lsmod | grep nf nf_nat 18618 1 iptable_nat nf_conntrack_ipv4 7700 3 iptable_nat,nf_nat nf_defrag_ipv4 1013 1 nf_conntrack_ipv4 nf_conntrack_ipv6 7117 2 nf_defrag_ipv6 9847 1 nf_conntrack_ipv6 nf_conntrack 65882 5 iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state ipv6 265735 57 ip6t_REJECT,nf_conntrack_ipv6,nf_defrag_ipv6 [root@gw ~]# lsmod | grep ipt iptable_mangle 2583 1 ipt_LOG 4835 2 iptable_nat 5027 1 nf_nat 18618 1 iptable_nat nf_conntrack_ipv4 7700 3 iptable_nat,nf_nat iptable_filter 2147 1 ip_tables 9541 3 iptable_mangle,iptable_nat,iptable_filter nf_conntrack 65882 5 iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state Все эти выгружать? Попробовал, не дает. # rmmod nf_conntrack_ipv6 ERROR: Module nf_conntrack_ipv6 is in use Изменено 14 октября, 2013 пользователем gsmail Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 октября, 2013 · Жалоба iptables -nvL -t nat ip6tables -nvL -t nat iptables -nvL ip6tables -nvL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 14 октября, 2013 · Жалоба Iptables на роутере пустой и не используется. на всякий случай вывод /sbin/iptables-save в студию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 14 октября, 2013 · Жалоба # /sbin/iptables-save # Generated by iptables-save v1.4.7 on Mon Oct 14 19:39:52 2013 *mangle :PREROUTING ACCEPT [3025434766:1014870678936] :INPUT ACCEPT [446464:150992967] :FORWARD ACCEPT [3024867200:1012645201864] :OUTPUT ACCEPT [689046:150427383] :POSTROUTING ACCEPT [3025521948:1012792068787] :syn-flood - [0:0] -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood -A syn-flood -d YYY.YYY.YYY.YYY/32 -m limit --limit 10/sec --limit-burst 100 -j RETURN -A syn-flood -d YYY.YYY.YYY.YYY/32 -j DROP -A syn-flood -d XXX.XXX.XXX.XXX/32 -m limit --limit 10/sec --limit-burst 100 -j RETURN -A syn-flood -d XXX.XXX.XXX.XXX/32 -j DROP COMMIT # Completed on Mon Oct 14 19:39:52 2013 # Generated by iptables-save v1.4.7 on Mon Oct 14 19:39:52 2013 *filter :INPUT ACCEPT [459523:155344123] :FORWARD ACCEPT [3081088618:1026211137469] :OUTPUT ACCEPT [674328:151044887] COMMIT # Completed on Mon Oct 14 19:39:52 2013 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 14 октября, 2013 · Жалоба Iptables на роутере пустой и не используется. А это что? -A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood -A syn-flood -d YYY.YYY.YYY.YYY/32 -m limit --limit 10/sec --limit-burst 100 -j RETURN -A syn-flood -d YYY.YYY.YYY.YYY/32 -j DROP -A syn-flood -d XXX.XXX.XXX.XXX/32 -m limit --limit 10/sec --limit-burst 100 -j RETURN -A syn-flood -d XXX.XXX.XXX.XXX/32 -j DROP Сделайте iptables-save > ~/iptables.save; iptables -t nat -F; iptables -t nat -X После этого сможете выгружать модули. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 15 октября, 2013 · Жалоба А это что? А это я как смог придумать, снизить нагрузку от флуда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 октября, 2013 · Жалоба А это что? А это я как смог придумать, снизить нагрузку от флуда. Теперь убирайте эти правило, выгружайте conntrack и роутеру будет пофиг на syn-flood(если он конечно не создаёт 100500 pps-ов), это уже станет проблемой абонента, на которого идёт атака Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...