[Firewall] mit iptables problemlos möglich, doch funktioniert das bei netcup?

  • Moin zusammen,


    wie im Threadtitel schon beschrieben möchte ich - wie eigentlich schon viele Monate - meinen vServer gegen Synflood-Attacken schützen.
    Das ganze habe ich bisher immer mit einer iptables-Regel gemacht, aber leider kann ich diese hier nicht so nutzen:


    PHP
    iptables -N synflood
    iptables -A synflood -m limit --limit 10/second --limit-burst 24 -j RETURN
    iptables -A synflood -j REJECT
    iptables -A INPUT -p tcp -i eth0 --syn -j synflood

    Ich habe hunderte möglichkeiten probiert, doch nichts hat in irgendeiner Art einen Erfolg gebracht. Gibt's Chancen etwas in dieser Art zurechtbasteln zu können? Von Softwarelösungen möchte ich wenn möglich eher Abstand halten.

    Für Tipps und Ratschläge wäre ich euch dankbar!


    //Edit:
    Ich werd das Thema schließen. Server wird an netcup zurückgegeben.

  • Zitat von christian;12027

    iptables gibt es auf einem vserver nicht.


    Das ist mir schon klar, hatte ich ja auch oben im Beitrag schon gesagt, dass ichs so nicht nutzen kann. Nur: wenn ich die Regeln so in die Firewall setze, dann zeigt das keinen Effekt...


    //Edit:
    Also den Effekt erziel ich jetzt schonmal "halb":


    [Blockierte Grafik: http://img249.imageshack.us/img249/4385/25061212.png]


    Nehmen wir mal an der Port 80 wird von einer IP Adresse geflooded - dann wird nicht nur diese eine IP geblockt, sondern alle anderen auch.
    Erreichen will ich, dass die IP, die z.B. per ApacheBench flooded komplett in die nicht Firewall wandert und keinen Zugriff mehr auf den Server hat. Vielleicht habe ich mich da auch etwas merkwürdig ausgedrückt :D

  • Zitat von Robert;12054

    Dafür gibt es das Feld "source ip". ;)


    Hat hier eigentlich schon irgendeiner einen "richtigen" Server mal abgesichert, der dann Flooding automatisch dropped? Ich meine, es kann doch nicht so schwer sein den Sinn zu verstehen von dem was ich gerne will, oder?


    Also nochmal:


    Server wird geflooded: Firewall erkennt das Flooding und dropped die IP.
    Mit iptables kein Thema, hier leider bei Netcup unmöglich. Ich überlege den Server mit der "Zufriedenheitsgarantie" zurückgehen zu lassen, denn das macht die Sache fast unbrauchbar. Sorry, aber diese ganze Systematik sollte man nochmal überdenken!

  • Ah. Dann fehlte hier das Wort "automatisch" bisher. Ich hatte das so verstanden, dass du den Angriff erkannt hast und die IP sperren willst.


    Es hatte hier mal jemand mal ein Skript für Fail2ban geschrieben, ist es das, was du meinst? Ob Fail2ban alle Angriffsarten erkennt, weiß ich nicht.

  • Zitat von Robert;12062

    Ob Fail2ban alle Angriffsarten erkennt, weiß ich nicht.


    Darum geht es, tut es nämlich nicht. Der Weg über die hosts.deny ist zwar möglich, aber wie durch den Rücken in die Brust geschossen...
    Ich möchte nicht loggen, gerade auch aus Performance-gründen - und dann soll ein Programm 100 Anfragen oder mehr pro Sekunde überprüfen? Das bricht doch alles in sich zusammen.


    Probiers doch mal selbst aus: ab -c 100 -n 1000 http://deineip/


    Selbst wenn du deinen Apache so gut wie nur möglich konfigurierst wird der normalbetrieb gestört, die iptables lassen die Verbindungen erst garnicht die Zeit sich aufzubauen, sondern sagen: "ey du, du kommst hier net rein".

  • Zitat von Bighead;12063

    Probiers doch mal selbst aus: ab -c 100 -n 1000 http://deineip/


    Das mache ich bei jeder größeren Konfigurationsänderung, und das Ergebnis: Ein höherer Load, aber bei weitem kein System, dass zusammenbricht. Außer man konfiguriert alles falsch oder hat den kleinsten vServer mit viel zu wenig Ram. Probiers doch mal mit mod_evasive beim Apache. Ansonsten wie angesprochen fail2ban mit einem Script aus dem Forum. Gegen echte DDoS Angriffe von Tausenden verschiedenen IPs helfen dir solche Softwarelösungen sowieso nichts, bei DDoS Angriffen werden aber so oder so die meisten (v)Server ein Problem haben - unabhängig davon, welche Soft-/Hardware Lösung eingesetzt wird ;)


    Und das Loggen dir so viele Ressourcen kostet, bezweifle ich jetzt einmal. Was machst du ohne Log dann eigentlich im Falle eines Missbrauchs? Wo nimmst du dann die IP des Verursachers her? Ich habe außerdem die Erfahrung gemacht, dass Loggen in DB's manchmal ressourcenschonender sein kann. Das kann man dann auch leichter durchsuchen/ordnen lassen als simple Logfiles auf der Festplatte. Dieses DB-Log könntest du dann viel schneller durchsuchen und die IPs blockieren lassen.


    Und bevor jetzt wieder eine Erklärung kommt: Ich verstehe was du erreichen willst, auf gut Deutsch willst du eine Hardware-Firewall, die vor deinem vServer arbeitet. Bereits weit davor, gleich noch bevor die Pakete ins RZ gelangen, wäre ganz perfekt. Und alles natürlich um unter 20 Euro? :rolleyes:



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Zitat von killerbees19;12065


    Und bevor jetzt wieder eine Erklärung kommt: Ich verstehe was du erreichen willst, auf gut Deutsch willst du eine Hardware-Firewall, die vor deinem vServer arbeitet. Bereits weit davor, gleich noch bevor die Pakete ins RZ gelangen, wäre ganz perfekt. Und alles natürlich um unter 20 Euro? :rolleyes:


    War klar das gerade du dich zu dem Thema meldest. Wenn du meinst mich verstanden zu haben, dann erklär mir doch bitte meine iptables vom Startpost? Thema gegessen, netcup kommt mir nicht in die Tüte!