Удалить и поменять

Личный кабинет стоит на отдельной машине под ddos-guard. Там регистрация. Когда чел регаеца все летит в базу уже на саму машину с игровым сервером. Iptables все настроено конекты по ip одной машины к другой. Когда в базу летит там я добавил пишет в файл айпи чела. Баш скрипт кажыдые 10 сек сгребает и с попомщью ipset добавляет в заранее созданый контейнер или как там он называется ip в ipitables и в ипитаблес прописано разрешить только с этого списка.

Ого смотрю ты базвордов притащил знатно, «проксирование» «ipip тоннель» «SYN флуд» «Фильтры». Думаю, что тут как и с кроном, ты просто не разобрался и сейчас ерунду рассказываешь. Просто возьми и почитай документацию к файерволу и можно будет выкинуть всю твою эту хероту никчемную.

Там если защищаться от SYN флуда у игроков сильно подскакивает пинг. Так что вариант разрешить тем кто зарегался или добавил в личном кабинете свой айпи - предпочтительнее

Слишком атаки быстрые и резкие

Тогда тебе к qrator и иже с ними. Всяко лучше колхоза

Так что вариант разрешить тем кто зарегался или добавил в личном кабинете свой айпи - предпочтительнее

А что ты будешь делать, если у игрока сменится IP?

В данный момент они в курсе и в личном кабинете могут добавить но не вписать а именно добавить свой ип. Вот я что тему поднял чтобы добавлять подсети так как у народа меняются окончания ip

Ты ценники там видел? Это для меня не вариант и не факт что поможет так как уязвимось в самом игровом сервере. Ее надо фиксить.

У людей и целиком сеть смениться может. А ещё со старого, добавленного, может начаться флуд, да и с соседнего тоже. Поэтому текущее решение выглядит так себе. И, если честно, меня терзают смутные сомнения по поводу скорости fail2ban. Ты его пробовал хоть?

В первую очередь я о нем и подумал. Но тут ситуация не стандартная. При атаке когда он начинает обрабатывать логи то у меня даже консоль лагает не то что игра. А потом атаки пошли подругому и я пока не нашел в какие логи попадает так как настроил через подвтерждение айпи и не долбят больше. Сайт пытались дня 3 мусолили но бестолку.

Есть антчиит он наверное помог бы нос стоит 300$ и в месяц еще 150. Не варинт

Ну это лишь говорит о том, что ты опять же не разобрался. Ты так говоришь как будто долбежка прекращается от того, что у тебя есть белый список адресов. Раз у тебя как ты выражаешься «подскакивает пинг» это говорил лишь о том, что ты неправильно такую долбежку фильтруешь.

Ты не правильно понял. Пинг подскакивает когда я в iptables начинаю добавлять лимиты защиту от SYN и тд. А когда с белого списка ваше нет лаг и дудоса так как все закрыто. Вотя хочу заранее сделать чтобы по подсетям так как я ХЗ скока айпишек влезет в такую 1 таблицу. ТЫщ 5-7 но тут есть ньюанс. Таблиц белых можно налепить скока хошь

Ты ценники там видел?

Во-первых, помимо куратора есть и другие, там цены могут быть ниже. Во-вторых, тот же TCP SYN флуд ты на игровом сервере принципиально не заблокируешь, единственное, что действительно можно сделать — это распаралелить (т. е. увеличить количество серверов)

Да меня фильтруют. Не помогает. Запрашиваю сильная атака? Пишут нет чутка вообще. Тут дело этой сраной уязвимости которую надо фиксить. Она позволяет бесконечно канектится к севраку и все канекты весят в очереди и ждут. Кароч пока так. 2 недели дудосили ппц

Тут дело этой сраной уязвимости которую надо фиксить

Так а в чём проблема?

А хз как, исходников нет. Знающий чел запросил за фикс 60к рубасов. Не вариант. А сам искать я год буду.

Ну так я тебе и говорю ты неправильно фильтруешь в принципе, и на проблему белых списков тебе уже указали.

Я модет и чет делаю и не правльно но по крайней мере чет делаю. И я нашел пока такой вариант и он рабочий. Если его допилить то…..

Enjoy your proprietary shit, чё. Тогда тебе остаётся только пропускать заведомо валидные сессии, либо городить свой аналог куратора, например, перенаправляя нормальные подключения с другого сервера.

Кстати:

При атаке когда он начинает обрабатывать логи то у меня даже консоль лагает не то что игра

В конфиге можно задать в том числе и скорость реакции. Но если логов нет, то, очевидно, это не вариант

Все оказалось до банальности просто. Ipset сам все может.

ipset -A del $ipaddr/24 <— сюда добавил и он на выхлопе последние 1 или 2 или 3 знака до точки убирает и подставляет 0/24

То есть решил продолжить так? Как знаешь

Да. Я эту тему создавал именно про 0/24 Проблема решена. Потом если что создам еще тему. Можно закрывать всем спасибо.