LINUX.ORG.RU

Фильтрация трафика

 , , ,


1

1

Здравствуйте. Хотел бы поинтересоваться у специалистов по следующему вопросу. Сложилась такая ситуация, что на мой UDP-streaming ресурс с завидной постоянностью осуществляются атаки. Если веб-сервер я защитил полностью, поступив нехитро - нормально отконфигурировал веб сервисы, чтобы они не ложились от HTTP флуда и разрешил коннекты на 80 порт только со стороны CDN, то такой трактор в случае со сторонними сервисами не пройдет. Атаки разные - начиная от SYN спуфинга и заканчивая тупым 10-гигабитным зафлуживанием аплинка. Читал, что как-то защищаются от спуфинга именно на уровне целевого сервера, а не на уровне шлюза, пытался. Мудрил с IPTables, sysctl. Ничего не вышло. Первым вопросом будет — возможно ли защититься от Syn Spoof attack именно на уровне целевого сервера, и если да, то как. А второй вопрос такой. Мне отказались прописывать специфические настройки на шлюзе по направлению к моему серверу, но у меня есть еще один сервер, совсем из другой подсети, и имеющий постоянный IPv4 адрес. Он намного более защищен и различные тестовые атаки выдержал на уровне. Второй вопрос: могу ли я (с помощью DNS reverse или еще как) пропускать трафик на целевой сервер с совсем другого сервера в интернете? Чтобы он играл роль шлюза. (На такое хостер согласен, прописать днс-форвардинг). На практическом примере, если пропинговать uni-kiel.de, имеющий адрес 1.1.1.1, то на пакет ответит машина с IP 2.2.2.2. То есть на трассе перед целевым сервером (1.1.1.1) стоит машина с совсем другой подсети, играющая роль фильтра. Каким образом я могу сделать также? Спасибо за ответ заранее.


Да, и обычный NAT мне не подойдет, потому что в таком случае адресаты пакетов теряются и они имеют данные сервера, через который идет проброс NAT.

Wheely ()
Ответ на: комментарий от Wheely

Бампну свою тему. Целевой хост я сумел настроить так, что среднюю атаку любого типа он переварит в лоб. Но все-же хочется большего. Если я заюзаю GRE или IPSec, в качестве сервера используя сторонний сервер, я смогу его поставить на трассе перед моим целевым хостом?

Wheely ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.