Proteзгo DDos para servidores SA:MP(iptables) -
RDM - 27.09.2016
Olб galera venho aqui trazer um firewall iptables, o mesmo estб totalmente funcional em Servidores com debian/Ubuntu.
Antes que alguem venha criticar falar que iptables nгo funciona, Vamos a algumas explicaзхes.
Este Firewall й para mitigar ataques de baixa largura de banda, Atualmente servidores SA:MP sofrem ataques que nгo chegam ao tamanho do link do servidor no meu caso 1Gbps, Este ataques possuem sucesso pois o servidor responde a cada requisiзгo feita a ele, este firewall visa minimizar os impactos em um ataque UDP em sua Porta do jogo no caso a que estб padrгo neste firewall й a 7777( porta padrгo do SA:MP) .
Este firewall realmente funciona ?
A resposta й sim para ataques que nгo sejam de grande largura de banda ( ou seja ataques nгo volumetricos). Em meus testes consegui mitigar Segurar um servidor online ( anteriormente com o mesmo ataque o servidor fica offline), obviamente com um pouco de Lag .
Realmente, trabalhar com o protocolo UDP й um tгo complicado. por isso necessitamos de um firewall Fisico com regras especificas para tal mitigaзгo, porйm com o iptables, pode ser uma arma para aqueles que sofrem com ataques, em muitos topicos em outros forums vemos a mensгo da palavra exploit, em SA:MP, por isso nenhuma empresa (execeto empresas com Firewall especificos Para SA:MP) irб segurar seu servidor online sem nenhum Lag em um ataque como este.
Mas vamos parar de enrolaзгo nй ? jб esta ficando chato !!
Instalaзгo :
Primeiro vamos olhar para algumas regras do firewall , direjam-se ao final do topico e fazem o download do arquivo firewall.sh
abra-o com seu editor de texto favorito!
vб atй a linha 38 aqui temos o seguinte:
# Liberando portas de serviзos externos (descomente e altere conforme sua necessidade)
iptables -A INPUT -p tcp -m multiport --dport 22 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 7777 -j ACCEPT
nesta linha : iptables -A INPUT -p tcp -m multiport --dport 22 -j ACCEPT
estamos liberando a porta de protocolo TCP utilizada para acesso
SSH (22 ) , й importante salientar que se vocк por algum motivo alterou a port padrгo de conexгo SSh vocк deve libera-la, se utiliza outras portas do protocolo TCP vc deve adiciona-las exemplo:
adicionando a port 80 (padrгo apache).
podemos fazer a liberaзгo da porta adicionando uma virgula seguida da port desejada A linha fica da seguinte forma:
iptables -A INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT
Jб nesta linha: iptables -A INPUT -p udp -m multiport --dport 7777 -j ACCEPT
Estamos liberando a port do servidor no nosso caso a 7777
E se eu tiver 2 servidores em meu vps como faзo ?
Pode seguir como o exemplo anterior adicionando virgula seguinda da porta.
exemplo adicionando a port 8080:
a linha fica da seguinte forma: iptables -A INPUT -p udp -m multiport --dport 7777,8080 -j ACCEPT
porйm estariamos apenas liberando a porta e a mesma nгo estaria sendo filtrada!, Entгo Precine ctrl+h e substitua 7777 por 7777,8080
clique em substituir tudo , pronto.
Salve o arquivo, faзa upload do mesmo em alguma pasta de seu servidor vps.
entre na determinada pasta e execute o comand: sh firewall.sh
o servidor irб retornar a mensagem: Connect Host FIREWALL: Nossas Regras de Firewal Iptables Foram aplicadas!
Pronto as regras estгo aplicadas e tudo estб a funcionar
!
Venho pedir desculpas pela mб organizaзгo do topico e pelos erros de portugues. Este й meu primeiro topico e nгo sou muito bom com estas coisas.
Criticas sгo bem vindas .
NUNCA DUVIDE DO PODER DO IPTABLES
Download do firewall.sh:
https://drive.******.com/file/d/0B5f...ew?usp=sharing
Re: Proteзгo DDos para servidores SA:MP(iptables) -
connork - 27.09.2016
Eu jб havia visto as regras do Blackaslan, infelizmente elas nгo funcionam para alguns ataques. Pelo que vi, os ataques Layer 7 irгo continuar sendo processados pelo SA-MP, nas regras que vocк publicou e ainda tem o risco de bloquear o trбfego legнtimo de alguns jogadores.
Como vocк sabe, o IPtables apenas irб mitigar ataques pequenos e nгo terб um bom desempenho (pode ocorrer packet-loss e overload). Geralmente o pessoal costuma usar IPtables para bloquear ataques simples como RCON Flood, ataques HTTP, banir IPs ou apenas bloquear portas inutilizadas.
Porйm nгo deixa de ser um bom material para quem deseja estudar.
Re: Proteзгo DDos para servidores SA:MP(iptables) -
RDM - 27.09.2016
Quote:
Originally Posted by connork
Eu jб havia visto as regras do Blackaslan, infelizmente elas nгo funcionam para alguns ataques. Pelo que vi, os ataques Layer 7 irгo continuar sendo processados pelo SA-MP, nas regras que vocк publicou e ainda tem o risco de bloquear o trбfego legнtimo de alguns jogadores.
Como vocк sabe, o IPtables apenas irб mitigar ataques pequenos e nгo terб um bom desempenho (pode ocorrer packet-loss e overload). Geralmente o pessoal costuma usar IPtables para bloquear ataques simples como RCON Flood, ataques HTTP, banir IPs ou apenas bloquear portas inutilizadas.
Porйm nгo deixa de ser um bom material para quem deseja estudar.
|
Sim amigo, porйm isto pode ser de grande ajuda para alguns servidores, que recebam ataques de baixa largura de banda. Obviamente irб passar ataques Layer7. Sobre o risco de bloquear jogadores legitimos, em meus testes isso nгo ocrreu em momento algum. Atualmente nгo utilizo tais regras pois possuo regras especificas para SA:MP em meu firewall fisico. Porйm isso me ajudou muito, juntamente com a filtragem ofericidas pelos servidores de LInk ( ovh, digitalocean, entre outras) .
Re: Proteзгo DDos para servidores SA:MP(iptables) -
n0minal - 28.09.2016
Tava tгo bonitinho atй escrever mistigar
Bom tutorial, vai ajudar bastante gente que tб comeзando a se envolver com Linux, mas como o connork disse acima й importante saber atй onde a necessidade de utilizaзгo й realmente existente pra poder utilizar o firewall. Enfim, +8 reps pra incentivar.
PS: O correto seria 'mitigar'
Re: Proteзгo DDos para servidores SA:MP(iptables) -
RDM - 28.09.2016
Quote:
Originally Posted by n0minal
Tava tгo bonitinho atй escrever mistigar
Bom tutorial, vai ajudar bastante gente que tб comeзando a se envolver com Linux, mas como o connork disse acima й importante saber atй onde a necessidade de utilizaзгo й realmente existente pra poder utilizar o firewall. Enfim, +8 reps pra incentivar.
PS: O correto seria 'mitigar'
|
Desculpe o erro amigo :/ estava com um pouco de presa fazendo o tutorial durante a aula de banco de Dados kkkkkk !
Re: Proteзгo DDos para servidores SA:MP(iptables) -
n0minal - 28.09.2016
E sobre o CSF, vocкs recomendam utilizaзгo dele? Tф comeзando a estudar essa бrea de ataques e proteзхes agora, um amigo que tinha uma web hosting sempre insistia pra eu usar CSF, quais sгo suas impressхes e experiкncias com ele?
Re: Proteзгo DDos para servidores SA:MP(iptables) -
connork - 28.09.2016
Quote:
Originally Posted by n0minal
E sobre o CSF, vocкs recomendam utilizaзгo dele? Tф comeзando a estudar essa бrea de ataques e proteзхes agora, um amigo que tinha uma web hosting sempre insistia pra eu usar CSF, quais sгo suas impressхes e experiкncias com ele?
|
Basicamente CSF й um software para gerenciar o firewall e transmitir as regras desse firewall pra iptables, o CSF tambйm й utilizado para bloquear ataques simples e fazer o controle de portas, o desempenho geral do IPtables nгo й nada bom nos dias de hoje. Pra vocк ter ideia tem datacenter recebendo ataques de 1Tbps (800Gbps + 200Gbps simultвneas) sу de TCP flag ack.
O ideal mesmo й investir em um equipamento fнsico para bloquear os ataques. Ao meu ver iptables sу serve pra bloquear brute-force e banir agentes HTTP, jб recebi ataque UDP que nem era layer 7 e o iptables nгo conseguiu bloquear 200Mbps. Antigamente era mais fбcil pois os ataques eram flood de IP para IP.
Re: Proteзгo DDos para servidores SA:MP(iptables) -
GuilhermeW - 28.09.2016
Ao meu ver, nуs podemos utilizar alguns recursos via software para trabalhar em conjunto com um hardware potente, mas nгo adianta vocк utilizar todos os recursos via software, se vocк nгo possuir um equipamento bom.
Parabйns pela sua iniciativa.
Re: Proteзгo DDos para servidores SA:MP(iptables) -
connork - 28.09.2016
Quote:
Originally Posted by GuilhermeW
Ao meu ver, nуs podemos utilizar alguns recursos via software para trabalhar em conjunto com um hardware potente, mas nгo adianta vocк utilizar todos os recursos via software, se vocк nгo possuir um equipamento bom.
Parabйns pela sua iniciativa.
|
Nгo vale a pena investir em hardware pra usar o IPtables, as limitaзхes vгo muito alйm do poder de processamento dos pacotes. O firewall trabalha com tabelas, quando elas se enchem й zerado e liberado todo trбfego novamente atй encher novamente e ocorrer a mesma, e se o link do ataque for superior a porta que vocк possui nгo adiantarб de nada. Й mais barato usar um router da Cisco por exemplo e configurб-lo para ser o filtro da rede.
Re: Proteзгo DDos para servidores SA:MP(iptables) -
RDM - 30.09.2016
Quote:
Originally Posted by n0minal
E sobre o CSF, vocкs recomendam utilizaзгo dele? Tф comeзando a estudar essa бrea de ataques e proteзхes agora, um amigo que tinha uma web hosting sempre insistia pra eu usar CSF, quais sгo suas impressхes e experiкncias com ele?
|
Amigo com CSF vocк irб bloquear ataques comuns, ele possui um serie de regras prй estabelecidas para facilitar a vida de usuбrios sem conhecimento na бrea (iptable).
O firewall que eu postei, possui algumas destas regras prй estabelecidas pelo CSF.
Ao meu ver ele й bom porйm nгo irб te ajudar contra ataques em servidores SA:MP pelo simples fato de apenas limitar o numero de conexхes por segundo em ports UDP .