Ddos Фильтр Своими Руками. Возможно Ли?

[MegaLag 5]

Здравствуйте!

Назрел такой интересный вопрос, возможно ли из старенького системника (аля кселерон 2.4Гг 2 гб оператоса) сделать что то типа DDos фильтра к остальным ресурсам? Допустим, воткнуть в него 5 сетевух (+1 встроенная), подрубить к нему 3 высокоскоростных провайдера, ( со 100мб выходом на внеху) весь входящий трафик фильтровать на интерфейсах каким то софтом и уже "чистый" трафик пускать на другие сервера (сайт, кс, ла2, dayz) ? Кароче сделать чтото типа cisco фильтра) Хотелось бы пообсуждать эту тему прошу высказать свои мнения по этому поводу и поделиться знаниями в этой сфере

[taste 501]

его у тебя убьют

[MegaLag 5]

его у тебя убьют

Саму железку как бы не жалко) да и если чтото реально можно сделать, то под такие функции можно выделить и более стоящую железку да и если вы имеете в виду что под нагрузкой система перегреется и сгорит, то думаю супер клей и куча вентиляторов мне поможет)))

Изменено 9 марта, 2013 пользователем MegaLag

[taste 501]

у тебя будет 6 ип, тебе перед твоим фильтром надо ставить впску, которая будет распределять и фильтровать часть трафика на эти 6 ип, потом на своем компе собирать трафик и фильтровать, а потом уже слать чистый на сервер, ну ты понял

[Sulfur 15]

Люди не просто так покупают дорогие аппаратные фильтры. От такого фильтра будет столько же толку как и от обычного Iptables ( при учете что там линукс )

Изменено 9 марта, 2013 пользователем Sulfur

[Maxwell 53]

Сам в этом не силён, но если сопоставить труд и цену самого циско - то выйдет дешевле купить циско и настроить чем поднимать свой отдельный, затея не плохая но не стоит того - при условии что вы не программист на Unix* системах.

[taste 501]

Люди не просто так покупают дорогие аппаратные фильтры. От такого фильтра будет столько же толку как и от обычного Iptables ( при учете что там линукс )

делаем циско на коленке

[MegaLag 5]

у тебя будет 6 ип, тебе перед твоим фильтром надо ставить впску, которая будет распределять и фильтровать часть трафика на эти 6 ип, потом на своем компе собирать трафик и фильтровать, а потом уже слать чистый на сервер, ну ты понял

В принципе да, но я как то представлял это по другому. В моё представлении это выглядит так : в компе торчит 6 сетевух 3 из них получают ип внешки (86.257.хх.хх , 88.87.хх.хх и 244.55.хх.хх) остальные 3 идут как внутресетевые (192.168.0.1 , 192.168.1.1, 192.168.2.1) задача сделать так, чтобы трафик входящий с внешних интерфесов фильтровался по средством программного обеспечения сервера и отфильтрованный трафик шел дальше на внутренние интерфейсы непосредственно к серверам. Так же думаю над тем что если всё повесить на 1 провайдер, а остальные сделать какбы запасными (на случай ддоса) В основном это только идеи, как реализовать пока не знаю

[Sulfur 15]

Програмно можно зафильтровать примерно 10% того, что фильтрует аппарат

[MegaLag 5]

чем хорош cisco? только тем что у них отработанные алгоритмы фильтрации и собственное разработанное по? ну и может пару модулей... а зачем платить не маленькие деньги на cisco, если есть куча "старенького" железа и немного интузиазма

[Temptation 69]

ыы если получится сделай гайд тоже завалялась старая техника, кстати можно пылесос тоже юзануть ну там я хз вентиляторы присобачить и в холодильник запихнуть и поставить температуру какуюта стабильную разогнать через биос всю хуйню а раз в неделю хуйачить туда жидкий азот для хардкора, кстати сам холодилльник запереть на ключ и спрятать в подвал чтоб еще больше охлаждение и упсов 7 штук если свет вырубят чтоб работало пару часов)))

[Sulfur 15]

чем хорош cisco? только тем что у них отработанные алгоритмы фильтрации и собственное разработанное по? ну и может пару модулей... а зачем платить не маленькие деньги на cisco, если есть куча "старенького" железа и немного интузиазма

Система распознавания, полностью отработаный алгоритм при атаках, система управления, 12 портов + железка именно для этого и предназначена. А комп предназначен не как фильтр. Так что Циско и Джунипер победит в любом случае.

[Sulfur 15]

ыы если получится сделай гайд тоже завалялась старая техника, кстати можно пылесос тоже юзануть ну там я хз вентиляторы присобачить и в холодильник запихнуть и поставить температуру какуюта стабильную разогнать через биос всю хуйню а раз в неделю хуйачить туда жидкий азот для хардкора, кстати сам холодилльник запереть на ключ и спрятать в подвал чтоб еще больше охлаждение и упсов 7 штук если свет вырубят чтоб работало пару часов)))

Использование максимум ресурсов системы неочем не говорит ? Пусть он хоть в криокамеру поместит сервер - он сдохнет от того что система сожрет все ресурсы.

[TURGOR 33]

А взять простой роутер с встроенным фаерволом не думал?

[taste 501]

А взять простой роутер с встроенным фаерволом не думал?

он взарвется

[TURGOR 33]

в нем такой же линукс, так и цена 50$ не жалко)

[MegaLag 5]

А взять простой роутер с встроенным фаерволом не думал?

Скажу так) т.к на нашем ресурсе стоит 12 серверов Dayz, 6 серверов css, MineCraft сервер и также сайт и форум с хорошей посещаемостью... я не думаю что роутер выдержит просто раздачу интернета на все сервера...

[TURGOR 33]

Так сразу и писал бы.

[Sulfur 15]

И этот ресурс как полагается любому школьнику стоит дома.

[MegaLag 5]

И этот ресурс как полагается любому школьнику стоит дома.

я и группа людей которые этим занимаются далеко не школьники.... это так сказать наше хобби...

[Naik 419]

Бред. Как роутер, может он и норм будет работать, но вот дальше... Возьмем простой случай с ДДОСом. На твоей железке же будет стоять тот же никс с програмным фильтром. При наличии ДДОСа на один из каналов, если это не простой ДОС, который мгновено отбивается, вся мошность железки уйдет на фильтрацию, в следствии чего значительное понижение скорости на остальных 2х каналах, т.к. не сможет справляться еще и с задачей распределения. И теперь 2 варианта, либо она выдержит и будешь ждать пока прекратится ДДОС, либо просто сгорит.

 

Если уж реально хочешь на "коленке" сделать фильтры, то покупаешь мощную тачку (2-8 проца) и настраеваеш фильтр только на нем. Далее трафик пускаешь на роутер, который распределяет по нужным компам его.

 

Вывод: Легче купить специальный фильтр Cisco или Juniper, а не изгаляться=)

[Sulfur 15]

Бред. Как роутер, может он и норм будет работать, но вот дальше... Возьмем простой случай с ДДОСом. На твоей железке же будет стоять тот же никс с програмным фильтром. При наличии ДДОСа на один из каналов, если это не простой ДОС, который мгновено отбивается, вся мошность железки уйдет на фильтрацию, в следствии чего значительное понижение скорости на остальных 2х каналах, т.к. не сможет справляться еще и с задачей распределения. И теперь 2 варианта, либо она выдержит и будешь ждать пока прекратится ДДОС, либо просто сгорит.

 

Если уж реально хочешь на "коленке" сделать фильтры, то покупаешь мощную тачку (2-8 проца) и настраеваеш фильтр только на нем. Далее трафик пускаешь на роутер, который распределяет по нужным компам его.

 

Вывод: Легче купить специальный фильтр Cisco или Juniper, а не изгаляться=)

У него и железка не поможет - канал просто засрут, так как там и гигабита будет мало

[MegaLag 5]

ну как бы провайдера 3, есть вариант использовать 1 провайдера как основного, а 2 остальных как запасных на случай ддоса. Так же есть вариант использовать 2 канала для фильтрации на основной канал. Правда хз возможно ли это....

[Sulfur 15]

ну как бы провайдера 3, есть вариант использовать 1 провайдера как основного, а 2 остальных как запасных на случай ддоса. Так же есть вариант использовать 2 канала для фильтрации на основной канал. Правда хз возможно ли это....

1.Менять IP адреса не вариант + DNS не может вести быстрый апдейт.

2.Бешеные деньги.

3.Провайдер не предоставит выделеный канал даже 1 гигабит.

[Антон 52]

Киско или джунипер помогут блок/фильтр при скорости 100/мб??