VoK 0 Опубликовано 5 октября, 2014 Здравствуйте! Купил VPS у OVH.com , вот задался вопросом, нужны ли дополнительно iptables или ovh все отразит без "моей помощи". Если да, то вот мой iptables, мб стоит что-то убрать или добавить ? #!/bin/sh MODPROBE=/sbin/modprobe # Очищаем правила iptables -F iptables -X # Разрешаем SSH iptables -A INPUT -i eth0 -p tcp --dport 1443 -j ACCEPT # Назначение глобальных политик iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD # Загружаем модули, погнали: # Модуль для отслеживания состояния соединений $MODPROBE nf_conntrack # Модуль для отслеживания по ipv4, ipv6 пока не используем $MODPROBE nf_conntrack_ipv4 # Изменение параметров SYSCTL # Увеличение размера очередей echo 32000000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max # Время ожидания до закрытия соединения echo 14400 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established # Время ожидания до посылки FIN пакета echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait # Время ожидания до посылки FIN пакета echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent # Для защиты от syn флуда echo 1 > /proc/sys/net/ipv4/tcp_syncookies # Увеличиваем размер backlog очереди echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog # Число начальных SYN и SYNACK пересылок для TCP соединения echo 4 > /proc/sys/net/ipv4/tcp_synack_retries echo 4 > /proc/sys/net/ipv4/tcp_syn_retries #Сколько секунд ожидать приема FIN до полного закрытия сокета echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout # Как часто посылать сообщение о поддержании keep alive соединения echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time # Сколько пакетов проверки keepalive посылать, прежде чем соединение будет закрыто. echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes # Зaпрещаем TCP window scaling echo 0 > /proc/sys/net/ipv4/tcp_window_scaling # Запрещаем selective acknowledgements, RFC2018 echo 0 > /proc/sys/net/ipv4/tcp_sack # Запрещаем TCP timestamps, RFC1323 echo 0 > /proc/sys/net/ipv4/tcp_timestamps # Уличиваем размер буфера для приема и отправки данных через сокеты. echo 1048576 > /proc/sys/net/core/rmem_max echo 1048576 > /proc/sys/net/core/rmem_default echo 1048576 > /proc/sys/net/core/wmem_max echo 1048576 > /proc/sys/net/core/wmem_default # Через какое время убивать соединеие закрытое на нашей стороне echo 1 > /proc/sys/net/ipv4/tcp_orphan_retries # Защита от скана # # Silently Drop Stealth Scans # All of the bits are cleared iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP # SYN and FIN are both set iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP # SYN and RST are both set iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP # FIN and RST are both set iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP # FIN is the only bit set, without the expected accompanying ACK iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP # PSH is the only bit set, without the expected accompanying ACK iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP # URG is the only bit set, without the expected accompanying ACK iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP # Уже установленные соединения и соединения, порожденные установленными принимаем iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Блокируем людей, которые постучались на левые порты iptables -N scan iptables -A scan -m recent --rcheck --name badscan --seconds 86400 -j DROP iptables -A scan -m recent --name badscan --remove iptables -A scan -p tcp -m multiport --dport 139,445 -m recent --name badscan --set -j DROP iptables -A INPUT -i eth0 -j scan iptables -A OUTPUT -p icmp --icmp-type timestamp-reply -j DROP # Разрешаем петлю iptables -A INPUT -i lo -j ACCEPT # DNS - АТАКА ПО НИМ: iptables -A INPUT -p UDP -j DROP iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT iptables -A INPUT -i eth0 -p udp --sport 53 -j DROP iptables -A INPUT -i eth0 -p tcp --sport 53 -j DROP iptables -A INPUT -i eth0 -p udp --dport 53 -j DROP iptables -A INPUT -i eth0 -p tcp --dport 53 -j DROP # Открываем порты # FTP iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT # SMTP iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT # HTTP и защита от множественных запросов. iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 80 -m limit --limit 100/sec --limit-burst 100 -j ACCEPT # Proftpd (порты для пассивного режима) iptables -A INPUT -i eth0 -p tcp --dport 49152 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 49153 -j ACCEPT # Мои порты iptables -A INPUT -i eth0 -p tcp --dport 7777 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 2106 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 5938 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 5939 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT # ICMP iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 6 -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type 6 -j ACCEPT Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Meeero 38 Опубликовано 5 октября, 2014 (изменено) Это все поможет, только если VPS не OpenVZ. Если OpenVZ то правила sysctl вообще нормально не сработают. А все остальное - без толку. (для VPS) Изменено 5 октября, 2014 пользователем Meeero Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
mcwa 295 Опубликовано 5 октября, 2014 Много что убрать и добавить надо Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
mcwa 295 Опубликовано 5 октября, 2014 Это все поможет, только если VPS не OpenVZ. Если OpenVZ то правила sysctl вообще нормально не сработают. А все остальное - без толку. (для VPS) Это да, там OpenVZ, эта виртуализация та еще фигня) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Meeero 38 Опубликовано 5 октября, 2014 Это да, там OpenVZ, эта виртуализация та еще фигня) Там есть KVM. На KVM ядро редактируемое. Но все равно. Много чего зависит от ноды. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
rooti 764 Опубликовано 5 октября, 2014 Использую vps для старта 100-150 человек. Не бойся за DDoS ничего не ставлю, вообще ничего а за защитой лезь ко мне в подпись 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
VoK 0 Опубликовано 5 октября, 2014 (изменено) Спасибо за ответы! Это все поможет, только если VPS не OpenVZ. Если OpenVZ то правила sysctl вообще нормально не сработают. А все остальное - без толку. (для VPS) При заказе указана виртуализация: 64 Bits OpenVZ Много что убрать и добавить надо Можно подробнее ?) Использую vps для старта 100-150 человек. Не бойся за DDoS ничего не ставлю, вообще ничего а за защитой лезь ко мне в подпись Я рассчитываю на онлайн 300-500 (если все удачно будет). Есть горький опыт, когда онлайн был 200 - задавили ддосами... не хотелось бы в те же грабли. Изменено 5 октября, 2014 пользователем VoK Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
VoK 0 Опубликовано 6 октября, 2014 Получается, что овх не гарантирует защиту от атак? У кого был опыт атак на впс овх ? Каким софтом можно проверить сервер на стрессоустойчивость ? (нашел L2 attacker, но думаю слишком простой) Мне бы проверить UPD или SYN. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
rooti 764 Опубликовано 6 октября, 2014 (изменено) Получается, что овх не гарантирует защиту от атак? У кого был опыт атак на впс овх ? Каким софтом можно проверить сервер на стрессоустойчивость ? (нашел L2 attacker, но думаю слишком простой) Мне бы проверить UPD или SYN. Убивали vps, падают в black hole и все, забудь о данных и vps Изменено 6 октября, 2014 пользователем rooti Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
sharp1k 321 Опубликовано 6 октября, 2014 Получается, что овх не гарантирует защиту от атак? У кого был опыт атак на впс овх ? Каким софтом можно проверить сервер на стрессоустойчивость ? (нашел L2 attacker, но думаю слишком простой) Мне бы проверить UPD или SYN. Если бить из сети овх - SYN пропускает Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
localhost 715 Опубликовано 6 октября, 2014 Использую vps для старта 100-150 человек. Не бойся за DDoS ничего не ставлю, вообще ничего а за защитой лезь ко мне в подпись плюсую, так же делаю Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты