Fragen zur FIrewall

Halli hallo,

nachdem ich heute das erste mal geddost wurde und ich auf die Firewall angewiesen war, war ich selbst ziemlich hilflos ...

ch habe sie m.A. nach ziemlich genau Konfiguriert aber nachdem ich Opfer des D-Dos wurde war mir klar, dass es eine klare Fehlkonfiguration war, sprich sie einfach nicht eingriff.

Ich habe darauf alles gelöscht und unter den Einstellungen auf "Standartmäßig DROP" gestellt und trotzdem kam man durch die Firewall ... ich kam auf den HTTP, auf den Shell, auf den Teamspeak, alles ging -.-

Bin ich einfach zu blöde dafür oder gibts irgendwo ein Trick oder muss ich die dazubuchen?

Ich hab mir die Wiki und diverse Posts hier im Forum durchgelesen aber kam zu keinem Ergebnis ....

Entweder sperr ich ALLES oder nichts ... wenigstens schonmal einen kleinen Schritt weiter ...
Wenn ich die untereste Drop Anweisung aktiviere ist alles gesperrt, wenn ich es aufhebe ALLES offen ....

[Blockierte Grafik: http://www.bilder-upload.eu/thumb/a9f329-1333912780.gif]

wow, du hattest rechts ich glaube es geht jetzt xD

Nur ist die Frage, was für ein Dos das war ....

ein http dos scheidet aus ... anhaltspunkte sind 3GB Incoming Traffic in 10 minuten (laut VCP) und der Server hatte einen Timeout bei stabilem i/O und ram ....

SYN Flood?

ich kenne mich damit leider nicht aus ... nur würde ich mich gerne dagegen schützen .... vorallem die Verursacher drankriegen ...

erstmal gilt es die Lücke zu schließen ... logs vom Apache Proftpd auth syslog usw usw. haben echt nix ergeben ....

son mist -.-

Ja die Frage ist nur, was verursacht so viel Incoming Traffic?

Ich habe selbst meinen Apache "gedost" und dabei kam fast nur outgoing Traffic zu stande ....

Bei dem Dos von gestern war es ausschließlich incoming ...

kennt jemand ein tool, womit ich das mal testen kann? Sprich ein SynFlooder oder wie die dinger heißen (Nur per PN)
ich würde dann direkt an nem Script arbeiten, welcher solche floods erkennt und bannt ....

MfG