Beiträge von rgbiernat

    Wieso kannst Du die nicht beeinflussen? Wenn von dort ausgehende Attacken ausgeführt werden, wäre es doch passend diese Geräte aus dem Netzwerk zu bannen, oder?


    (Dass es eine handvoll gute Gründe dagegen geben kann, ist mir bewusst. Ohne mehr Details klingt das aber leider noch nicht sehr wahrscheinlich.)

    Wenn du mir sagst, wie ich normalen Traffic von DDOS Traffic unterscheide und diesen effektiv banne - ich bin für alle Vorschläge offen. Ich kann die Endgeräte nicht beeinflussen. Ich kann sie aber natürlich bannen. Ich brauche hier nur etwas Hilfe.

    Das ist quasi ein ähnlich wie ein Tor Exit / Freifunk Node / VPN Endpoint, richtig?

    Es ist ein Freifunk Gateway Server. Über einen Port kommen die Anfragen der Clients rein. Über unsere Server gehen sie raus. Welche Informationen fehlen dir? Ich liefere gerne.

    Hallo!

    Aufbau:
    Viele hundert Endgeräte ---> NetCup Server ----> Internet

    Problem:

    Die Endgeräte gehen über den NetCup Server ins Internet. Der Server hat zu viele ausgehende Verbindungen. Daher hat mir Netcup schon mehrere Male Abuse-Meldungen geschickt. Vermutlich tobt auf einigen Endgeräten ein Virus/Wurm/Trojaner, der DDOS Attacken ins Internet startet. Die Endgeräte kann ich nicht beeinflussen. Daher möchte ich zumindest den Server so gut wie möglich absichern.

    Für die Forwarding Regeln habe ich folgendes konfiguriert, um die Anzahl der NEUEN, von einer Quell-IP ausgehenden Verbindungen zu limitieren:

    -A FORWARD -p tcp --syn -m hashlimit --hashlimit 30/s --hashlimit-burst 60 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name synattack -j ACCEPT

    -A FORWARD -p tcp --syn -j LOG

    -A FORWARD -p tcp --syn -j DROP

    Scheinbar hat das mal so gar nichts gebracht. Kann mir jemand helfen?

    Gruß,
    Rüdiger

    PS: Die anonymisierte Abuse-Meldung: