Hallo!
Aufbau:
Viele hundert Endgeräte ---> NetCup Server ----> Internet
Problem:
Die Endgeräte gehen über den NetCup Server ins Internet. Der Server hat zu viele ausgehende Verbindungen. Daher hat mir Netcup schon mehrere Male Abuse-Meldungen geschickt. Vermutlich tobt auf einigen Endgeräten ein Virus/Wurm/Trojaner, der DDOS Attacken ins Internet startet. Die Endgeräte kann ich nicht beeinflussen. Daher möchte ich zumindest den Server so gut wie möglich absichern.
Für die Forwarding Regeln habe ich folgendes konfiguriert, um die Anzahl der NEUEN, von einer Quell-IP ausgehenden Verbindungen zu limitieren:
-A FORWARD -p tcp --syn -m hashlimit --hashlimit 30/s --hashlimit-burst 60 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name synattack -j ACCEPT
-A FORWARD -p tcp --syn -j LOG
-A FORWARD -p tcp
--syn -j DROP
Scheinbar hat das mal so gar nichts gebracht. Kann mir jemand helfen?
Gruß,
Rüdiger
PS: Die anonymisierte Abuse-Meldung:
Direction: OUT
Internal IP: x.x.x.x
Treshold Packets: 30000 packets/s
Sum Packets: 44699550 packets/300s (148998.5 packets/s)
Sum Bytes: 8.54 GByte/300s (233.26 MBit/s)
Detail Output:
Src IP Addr:Port Dst IP Addr:Port Packets Bytes
x.x.x.x:38025 -> a:443 150 7800
x.x.x.x:38025 -> b:443 150 7800
x.x.x.x:49222 -> a:443 150 6000
x.x.x.x:46141 -> b:443 150 7800
x.x.x.x:22 -> a:34448 150 13650
x.x.x.x:51364 -> a:443 300 27300
x.x.x.x:32895 -> b:443 150 26700
x.x.x.x:60407 -> a:443 150 7800
x.x.x.x:42852 -> b:443 150 7800
x.x.x.x:60409 -> a:443 150 9600
x.x.x.x:10006 -> a:33160 19800 2.9 M
x.x.x.x:37642 -> b:443 150 7800
x.x.x.x:62681 -> a:443 300 17400
x.x.x.x:56232 -> a:443 150 7800
x.x.x.x:10006 -> b:34804 110100 16.7 M
x.x.x.x:57726 -> a:443 600 69900
x.x.x.x:39590 -> b:443 150 7800
x.x.x.x:57970 -> a:443 150 7800
x.x.x.x:53707 -> b:443 150 7800
Alles anzeigen