LINUX.ORG.RU
ФорумAdmin

Схема провайдер->пк->роутер работает не стабильно

 


0

3

Всем привет. Я уже облазил уйму форумов по теме, но так и не получил вразумительного ответа. Я не особо разбираюсь в сетях, но для своих нужд дома стоит ПК, который работает 24\7, на нём вебсервер и ещё несколько нужных мне сервисов. ПК на Вин (уж так сложилось). Также имеется роутер Asus RT-N66U с последней родной прошивкой.

В общем-то всё было хорошо, пока один нехороший человек не заддосил мой ip. Атака даже не успевает доходить до ПК, она просто кладёт роутер уже через пару секунд после начала. Было принято решение сделать схему наоборот, вместо: провайдер-роутер-клиенты, сделана схема: провайдер-пк-роутер-клиенты(W-Fi).

От ддоса пока ещё брандмауэр не настроен, т.к. проблема первостепенная следующая - при попытке зайти с ноутбука на сервисы на ПК в домашней сети сквозь роутер, на пк падает сервис, на который я захожу. Сервис слушает UDP порт.

Как сейчас реализована схема подключения: Кабель провайдера в первую сетевуху ПК, из ПК из второй сетевухи второй кабель идёт в LAN порт роутера Asus. На роутере !не выключен! DHCP-сервер (я решил, что лучше, чтобы роутер выдавал адреса клиентам Wi-Fi). Всё вроде бы хорошо, Wi-Fi есть, инет на клиентах есть, но вышеописанная проблема имеет место быть. К тому же есть ещё одна маленькая проблема - если я с ноутбука открою тяжёлый сайт (тестировал в частности на вконтакте, заходил в группу, где много народу и прогружал её участников), то интернет на ноутбуке пропадает. Т.е. подключение Wi-Fi остаётся и даже пишется, что интернет доступен, но сайты открывать ноут больше не собирается. Но в этом случае я замечал, что доступ к локальным ресурсам по прежнему остаётся. А если заново подключиться к Wi-Fi от руотера, то интернет вновь появляется на ноутбуке, но до тех пор, пока я снова не открою тяжёлый сайт с кучей картинок.

Где я прокололся?

--- P.S. изначально я вообще хотел перепрошить роутер на прошивку от Merlin, где якобы есть полноценный iptables с возможностью сохранить настройки этого iptables, чтобы они работали после перезагрузки роутера. Но тут тоже не так всё просто. Выдержит ли роутер слабый ддос даже при настроенном iptables. И вторая проблема - полное отсутствие знаний unix-систем и естественно iptables :)

Так, при чем тут вообще Linux?

А по сабжу - тебя когда досят могут просто забить канал и ты хоть обвешай файрволлами свой шлюз - это не поможет.

alozovskoy ★★★★★ ()

Такого же мнения, как alozovskoy. Почти наверняка ваши 100мбит/с (или какой у вас канал) забивают под завязку. Единственное решение тут - звонить провайдеру, и если они не могут фильтровать это у себя, имхо, только менять ип.

Ради интереса, а как вы собирались настраивать фаервол?

viewizard ★★ ()
Ответ на: комментарий от alozovskoy

Так, при чем тут вообще Linux?

Присоединяюсь. ТС я вот этого тоже не понял.

А по сабжу - тебя когда досят могут просто забить канал и ты хоть обвешай файрволлами свой шлюз - это не поможет.

Может да, а может и нет. Иногда fw помогает.

anc ★★★★★ ()

Бороться нужно на стороне провайдера и в кооперации с провайдером.

1. Если канал уже забит, то никакие меры на твоей стороне не помогут.

2. Если атака забивает сервисы (а канал справляется, что вряд ли, ибо распространена атака на канал), то определенный смысл в различных решениях на стороне клиента есть - но это должна быть не одна волшебная коробка, которая сделает зашибись, а комплекс мер. Firewall, что бы чистить/ограничивать syn и др. пакеты, м.б. application firewall-ы для чистки трафика приложений, RTBH, IPS и т.п. Всё это желательно в кооперации с провайдером, т.к. атаки далеко не всегда строго DDoS - чаще с каких-то AS льётся сильнее - и именно их трафик на стороне провайдера можно блекхолить. Опять же у провайдера больше ресурсов на threat analysis и поиск C&C серверов очередного ботнета.

3. Если у тебя сайт, то разумно организовать проксирование веб-траффика средствами CloudFlare (скрыть айпи сайта) и не палить свой IP (в скайпе в настройках соединения поставь галочку «разрешить прямую связь только с людьми из списка контактов»).

Это все.

DarkCity ()

P.S. По желанию можешь заблокировать ответ на пинг по icmp (только если не держишь udp-серверы - игровые, а только сайт). Проще злоумышленника в заблуждение ввести, но если он не дурак, а айпи ты спалил, то ему и пинговать тебя не придется.

DarkCity ()
Ответ на: комментарий от alozovskoy

Это в случае если забивают канал, а если не забивают? Меня ддосил один парнишка с его каналом интернета в 5 мбит\сек, у меня же 100. Я с этим парнишкой связался, теперь мы с ним «сотрудничаем» :) Моя задача теперь максимально обезопасить домашний сервер, а он будет ддосить, когда я его буду просить.

kirpich1 ()

выхлоп клиента и сервера

route print
Таблицу маршрутов роутера.
Вы настроили маршруты на роутере? Иначе вообще не понятно как оно у вас работает.

Получается петля. Клиент->роутер->ПК(сервер)->роутер ибо сервер получает маршруты от dhcp сервера.

dzirtt ()
Ответ на: комментарий от kirpich1

Сайты прячь за CloudFlare, а игровые серверы или другие по udp фильтруй только по договоренности с провайдером, однако зачем тебе на подкроватном домашнем хостинге держать udp-сервер? Ты его от ddos не защитишь. Провайдеры редко навсречу идут и грамотно фильтруют UDP для тебя Что за сервер-то?

Напиши мне в ВК - vk.com/toplinux, глянем по твоему случаю детально.

Но я сказал. Пробуй с провайдером поговорить, а для сайтов есть CloudFlare.

DarkCity ()
Ответ на: комментарий от dzirtt

Вы настроили маршруты на роутере? Иначе вообще не понятно как оно у вас работает.

Пока что вернул роутер обратно, прошил его на DD-WRT, надо думать что-то с iptables.

kirpich1 ()
Ответ на: комментарий от alozovskoy

А как ты его нашел? Или он твой сосед по лестничной клетке?

Да он дурачок, сам спалился, набрав мне в скайп. Далее не сложно по скайпу было найти его.

kirpich1 ()
Ответ на: комментарий от DarkCity

Напиши мне в ВК - vk.com/toplinux, глянем по твоему случаю детально.

Но я сказал. Пробуй с провайдером поговорить, а для сайтов есть CloudFlare.

Привет. Что-то вк какой-то пустой, настораживает. Мне этот UDP-проект прибыли не приносит. В минус работает. Это по сути хобби, отдых от работы и жизненного гемора. Поэтому платить за CloudFlare я не готов :)

kirpich1 ()
Ответ на: комментарий от kirpich1

CloudFlare позволяет бесплатно прятать сайты. И только их.

Что касается UDP, то тут либо платить, либо договориться с провайдером.

DarkCity ()
Ответ на: комментарий от kirpich1

Установить Linux на пк не предоставляется возможным.

На винфак тогда.

sT331h0rs3 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.