la2-play 10 Опубликовано 18 декабря, 2012 Подскажите что не так делаю 1.Закрываю порт iptables -A INPUT -p tcp --dport 7777 -j DROP 2.Гружу anti_ddos.sh ./anti_ddos.sh #!/bin/sh IPT=/sbin/iptables UNPRIPORTS="1024:65535" INET_IFACE="eth0" $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -o eth0 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp -m tcp --dport 2106 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp --dport 7000 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT -s 127.0.0.1 $IPT -A INPUT -i eth0 -p tcp -m tcp --dport 7777 -j DROP $IPT -I INPUT -i eth0 -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP $IPT -I INPUT -i eth0 -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP $IPT -A INPUT -p icmp -i eth0 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable $IPT -A INPUT -p icmp --icmp-type 8 -s 0/0 $IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCEPT $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 21 -j ACCEPT ! --syn $IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 25 -j ACCEPT $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT В конфиге логина зашита включена #============================================================= # Anti Ddos protection. # This system works with iptables # ============================================================= # iptables -A INPUT -p tcp --dport 7777 -j DROP # IMPORTANT: Put True for server security. # IMPORTANT: Active only with LINUX OS. EnableDdosProSystem = true # String deny_comms # IMPORTANT: If you don't know what is it, leave as default Deny_noallow_ip_ddos = /sbin/iptables -I INPUT 13 -p tcp --dport 7777 -s $IP -j ACCEPT # Active full log on Login Server console about Ddos protection Fulllog_mode_print = true 3.Запускаю логин,гейм пытаюсь зайти прохожу авторизацию на логине дохожу до выбора серверов и тут ступор показывает что сервер включён жму на него но не заходит в логине пишет что доступ ип открыт Не пойму что не так подскажите Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
mandarin 0 Опубликовано 18 декабря, 2012 Мне бы тоже, хотелось узнать. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
la2-play 10 Опубликовано 19 декабря, 2012 ап Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
la2-play 10 Опубликовано 19 декабря, 2012 Дам 100 руб тому кто поможет настроить по тв icq 594202286 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
taste 501 Опубликовано 19 декабря, 2012 дурацкие правила какие-то Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
VREDNbIi 145 Опубликовано 19 декабря, 2012 дурацкие правила какие-то полностью согласен кстати на данном форуме есть и по лучше правила где-то, кто-то тему делал специально да и я часть вроде выкладывал... где-то Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mefestofel163 1333 Опубликовано 19 декабря, 2012 /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F # other network protection echo 1 > /proc/sys/net/ipv4/tcp_syncookies # enable syn cookies (prevent against the common 'syn flood attack') echo 0 > /proc/sys/net/ipv4/ip_forward # disable Packet forwarning between interfaces echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast echo 1 > /proc/sys/net/ipv4/conf/all/log_martians # log packets with impossible addresses to kernel log echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # disable logging of bogus responses to broadcast frames echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter # do source validation by reversed path (Recommended option for single homed hosts) echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects # don't send redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route # don't accept packets with SRR option # запрещаем все /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # drop Bad Guys /sbin/iptables -A INPUT -m recent --rcheck --seconds 60 -m limit --limit 10/second -j DROP # drop unwanted services /sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP /sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP # accept everything from loopback /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # disable ping /sbin/iptables -A INPUT -p icmp -j DROP # internet (established and out) /sbin/iptables -A OUTPUT -o eth0 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # открываем порт логина 2106 /sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT # закрываем порт гейм сервера 7777 /sbin/iptables -A INPUT -p tcp --dport 7777 -j DROP ### # прочие разрешения ## коннект к БД, порт 3306 # запрет для всех остальных /sbin/iptables -I INPUT -p tcp --dport 3306 -j DROP # разрешить следующим IP iptables -I INPUT -p tcp -s ВАШ_IP --dport 3306 -j ACCEPT iptables -I INPUT -p tcp -s IP_САЙТА --dport 3306 -j ACCEPT iptables -I INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT ## коннект к SSH, порт 22 # запрет для всех остальных /sbin/iptables -I INPUT -p tcp --dport 22 -j DROP # разрешить следующим IP /sbin/iptables -I INPUT -p tcp --dport 22 -s ВАШ_IP -j ACCEPT вот юзай на здоровье=) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
taste 501 Опубликовано 19 декабря, 2012 /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F # other network protection echo 1 > /proc/sys/net/ipv4/tcp_syncookies # enable syn cookies (prevent against the common 'syn flood attack') echo 0 > /proc/sys/net/ipv4/ip_forward # disable Packet forwarning between interfaces echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast echo 1 > /proc/sys/net/ipv4/conf/all/log_martians # log packets with impossible addresses to kernel log echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # disable logging of bogus responses to broadcast frames echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter # do source validation by reversed path (Recommended option for single homed hosts) echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects # don't send redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route # don't accept packets with SRR option # запрещаем все /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # drop Bad Guys /sbin/iptables -A INPUT -m recent --rcheck --seconds 60 -m limit --limit 10/second -j DROP # drop unwanted services /sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP /sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP # accept everything from loopback /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # disable ping /sbin/iptables -A INPUT -p icmp -j DROP # internet (established and out) /sbin/iptables -A OUTPUT -o eth0 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # открываем порт логина 2106 /sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT # закрываем порт гейм сервера 7777 /sbin/iptables -A INPUT -p tcp --dport 7777 -j DROP ### # прочие разрешения ## коннект к БД, порт 3306 # запрет для всех остальных /sbin/iptables -I INPUT -p tcp --dport 3306 -j DROP # разрешить следующим IP iptables -I INPUT -p tcp -s ВАШ_IP --dport 3306 -j ACCEPT iptables -I INPUT -p tcp -s IP_САЙТА --dport 3306 -j ACCEPT iptables -I INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT ## коннект к SSH, порт 22 # запрет для всех остальных /sbin/iptables -I INPUT -p tcp --dport 22 -j DROP # разрешить следующим IP /sbin/iptables -I INPUT -p tcp --dport 22 -s ВАШ_IP -j ACCEPT вот юзай на здоровье=) я сюда еще добавлял блокировку стран+отрубал син пинг и прочую дрянь Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mefestofel163 1333 Опубликовано 19 декабря, 2012 ну это самые простые правила что на pw =) могу выложить свои правила лично zenn писал на заказ... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
VREDNbIi 145 Опубликовано 19 декабря, 2012 zenn писал на заказ... Хочу глянуть.... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
