IPtables kleine Bitte: einmal drüberschauen.

Das kannst du noch mit reinpacken:

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 8 -j DROP
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowloris --set
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowloris --update --seconds 15 --hitcount 15 -j DROP

Burst kannst du ja nach Bedarf anpassen.

Grüße

Hey, das ist völlig korrekt. Das dient tatsächlich als DDoS Schutz und gehört - wie ich finde - in jede IPTables Konfiguration rein. Zwar ist die Wahrscheinlichkeit eines klassischen Angriffs sehr gering, sofern man kein Ansehen erregt, aber es schadet ja nicht sich bereits vorher abzusichern. Dazu noch Deflate und Fail2Ban und schon hast du eine vernünftige Softwarelösung.

Beste Grüße

Servus zusammen!

ich bin nun auch auf einen KVM Server umgestiegen und habe u.a. die iptables rules aus dem 4.Beitrag übernommen.
Allerdings habe ich jetzt das Problem, dass diese 15 requests pro 15 Sekunden bereits mit dem Aufruf einer Seite ausgeschöpft sind. D.h. wenn ich die Seite innerhalb von 15 Sekunden neulade, dann bin ich ausgesperrt.
Weiß zufällig jemand, ob das ein Problem der Server-Einstellung ist o.a.?

Ich könnte die Schwelle auf 30-40 Requests hochstellen, aber das ist nicht im Sinne von DDOS-Schutz, denke ich mal.

Danke euch und viele Grüße

Einen echten DDOS schutz kannst Du mit der iptables Regel eh nicht erreichen.
Wenn die Requests auf deinem Server ankommen erzeugen sie Last.
Ob Du sie nun durch lässt oder nicht.

Und da Deine Website ansonsten nicht korrekt funktioniert, musst Du die Werte wohl oder übel hoch schrauben.

Ich hab das gleiche Problem wie vanilla thunder,
kennt jemand eine funktionierende Varriante?

Setz die Werte hoch...

15 Requests unter 5s schafft man locker, siehe z.B. Roundup on Parallel Connections | High Performance Web Sites oder Home -Browserscope. Es dürfte schon reichen 3 interessante Links in einem Hintergrund-Tab zu laden. Alternativ gibt es genügend Leute die hinter einem Proxy sitzen. Allein die Anzahl an Verbindungen pro IP/Sekunde wäre mit zu wenig für das Blocken von HTTP.

Ich habe bei meinen Recherchen zur Vorbereitung der bald anstehenden Migration meines Servers folgendes Skript zusammen gestellt, welches gegenüber dem oben genannten einige Unterschiede aufweist. Könnte mal jemand drüber schauen und ggf. Kommentieren welche Lösung besser/eleganter ist bzw. was sich evtl. besser lösen lässt?

#alle Regeln und Ketten löschen
iptables -F
iptables -X
iptables -t nat -F







#allgemeine Regeln
iptables -P INPUT DROP #Global INPUT
iptables -P OUTPUT ACCEPT #Global OUTPUT
iptables -P FORWARD DROP #Global FORWARD




iptables -A INPUT -i lo -j ACCEPT #Loopback zulassen
iptables -A OUTPUT -o lo -j ACCEPT #




iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #Pakete von bekannten Verbindungen zulassen







#Regeln für Dienste
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT #FTP
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT #SSh
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT #Http
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT #POP3
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT #Https
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 10000 -j ACCEPT #Webmin







#Regeln für Game-/Voice-Server
iptables -A INPUT -i eth0 -p udp -m udp --dport 9987 -j ACCEPT #Teamspeak Server#1
iptables -A INPUT -i eth0 -p udp -m udp --dport 9988 -j ACCEPT #Teamspeak Server#2
iptables -A INPUT -i eth0 -p udp -m udp --dport 9989 -j ACCEPT #Teamspeak Server#3
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 2008 -j ACCEPT #Teamspeak Lizenzen
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 10011 -j ACCEPT #Teamspeak Konsole
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 30033 -j ACCEPT #Teamspeak Transfer




iptables -A INPUT -i eth0 -p tcp -m tcp --dport 25565 -j ACCEPT #Minecraft







#Beschränkung der Ping anfragen
iptables -A INPUT -p icmp -m limit --limit 253/s --limit-burst 5 -j ACCEPT




# Ping-of-Death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT




# SynFlood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT




# PortScan
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT




# HTTP Limit pro Minute
iptables -A INPUT -i eth0 -p tcp --dport 80 -j LOG --log-prefix "Apache Access" --log-level 6 -m limit --limit 15/m

Hmmmm, das Thema trifft wohl nicht auf großes Interesse. Aber ein riesen Fehler scheint wohl auch nicht drin zu sein, sonst hätte mir hier bestimmt jemand virtuell eine an den Hinterkopf geklatscht. Ich hätte allerdings mit meinem Beitrag gern den Anstoß zu der Ausarbeitung eines gesunden Skriptes für die Grundeinrichtung eines Servers gegeben. Nicht alle hier (so wie ich) sind nicht sehr erfahren mit der Firewall von Linux.

Zitat von RHA

Code

# HTTP Limit pro Minute
iptables -A INPUT -i eth0 -p tcp --dport 80 -j LOG --log-prefix "Apache Access" --log-level 6 -m limit --limit 15/m

Zugriffe auf Port 80 hast du weiter oben bereits akzeptiert. Akzeptierte Pakete werden nicht weiter gefiltert, also wird nichts geloggt.

Darf ich fragen, woher die E-Mails kommen, die Du mit POP3 abholen willst? Vielleicht sollte der SMTP-Port geöffnet werden.

Ich möchte dir gerne meine iptables vorstellen. Hab lange dafür gebraucht sie so aussehen zu lassen und da das netcup forum mir etwas behilflich war, möchte ich auch etwas zurück geben.

IPv4 Regeln
http://ray-works.de/dl/ipv4settings.sh

IPv6 Regeln
http://ray-works.de/dl/ipv6settings.sh

Zitat von ___

Zugriffe auf Port 80 hast du weiter oben bereits akzeptiert. Akzeptierte Pakete werden nicht weiter gefiltert, also wird nichts geloggt.

Darf ich fragen, woher die E-Mails kommen, die Du mit POP3 abholen willst? Vielleicht sollte der SMTP-Port geöffnet werden.

OK, dann hätte ich evtl. für das HTTP-Limit ein "iptables -I ......." verwenden sollen, damit die Regel oben eingefügt wird (das müsste doch funktionieren).

iptables -I INPUT -i eth0 -p tcp --dport 80 -j LOG --log-prefix "Apache Access" --log-level 6 -m limit --limit 15/m

Und du hast natürlich Recht, ich habe SMTP vergessen.

RayMD
Besteht in deinem Skript nicht das gleiche Problem? Es werden erst die Regeln für die Services eingetragen und dann folgt das HTTP-Limit.

Meine Regel unterscheidet sich von deiner. Schau mal genauer hin
Somit funktioniert das so, wie man sich das denkt.

Edit: Das was du tust ist glaub ich nicht, das was du haben möchtest.

IPTABLES manpage Auszug:

Zitat

limit
This module matches at a limited rate using a token bucket filter. A
rule using this extension will match until this limit is reached. It
can be used in combination with the LOG target to give limited logging,
for example.

xt_limit has no negation support - you will have to use -m hashlimit !
--hashlimit rate in this case whilst omitting --hashlimit-mode.

--limit rate[/second|/minute|/hour|/day]
Maximum average matching rate: specified as a number, with an
optional `/second', `/minute', `/hour', or `/day' suffix; the
default is 3/hour.

--limit-burst number
Maximum initial number of packets to match: this number gets
recharged by one every time the limit specified above is not
reached, up to this number; the default is 5.

Alles anzeigen

Zitat von RHA

Ich habe bei meinen Recherchen zur Vorbereitung der bald anstehenden Migration meines Servers folgendes Skript zusammen gestellt, welches gegenüber dem oben genannten einige Unterschiede aufweist. Könnte mal jemand drüber schauen und ggf. Kommentieren welche Lösung besser/eleganter ist bzw. was sich evtl. besser lösen lässt?

Code

#alle Regeln und Ketten löschen
iptables -F
iptables -X
iptables -t nat -F




...................
....................

Kleine Anmerkung
wenn man "iptables -F" benutzt ohne ein Kette anzugeben , sollte man Sorge tragen
dass die FW vor fail2ban gestartet , denn im umgekehrtren Fall werden auch die
Regeln mit gelöscht , die van fail2ban erstellt wurden.

extremmichi
Das habe ich z.B. nicht gewusst. Vielen Dank für den Hinweis.

Ich schaue mir immer noch das Skript von RayMD an. Wenn ich dieses (ggf. leicht verändert) verwende, sollte man dort evtl. stoppen und starten von fail2ban mit einbinden? Also erst fail2ban stoppen, Firewall konfigurieren, dann fail2ban wieder starten?

Genau. Man muss fail2ban wieder anschließend starten, damit es die Regeln anknüpft, welche durch -F ja gelöscht werden.

Script starten -> fail2ban starten
(fail2ban stoppen) -> Script stoppen

Man könnte es natürlich mit ins Script einnehmen.

oder die Start/stop-Scripte der FW sollten ne niedrigere Zahl als die von fail2ban haben
wenn man den Linux Weg geht und die FW unter /etc/init.d ablegt und durch die rc*.d
scripte starten bzw. stoppen lässt. Dann wird die FW auch automatisch beim booten aktiviert