Linux за българи: Форуми

Здравейте колеги.
От скоро съм с Fedora 16. На VirtualBox-a съм си пуснал сървър на играта MuOnline под Windows xp.
Имам проблем с flood към портовете на apache (80 port) , ConnectServer(44405 port) , GameServer (50001 port) , GameGuardServer ( 27015 port) , Join Server (55412 port) . Става въпрос за някакъв UDP или TCP или SYN flood.
Намерих скриптове в гугъл (iptables) но съм нов в linux и за сега съм неопитен.
Виртуалната машина си взима локален IP адрес от рутера. Можете ли да ми помогнете да се защитя от този (Flood) ?
Благодаря предварително!

1. От различни IP-та ли идват тези атаки или само от едно?
2. Този сървър за игра сервира ли на клиенти в Интернет или само в локалната ти мрежа?

Я! Втори човек с първи пост за днес! ДОБРЕ ДОШЪЛ! :)

1. От различни IP-та ли идват тези атаки или само от едно?
2. Този сървър за игра сервира ли на клиенти в Интернет или само в локалната ти мрежа?

Я! Втори човек с първи пост за днес! ДОБРЕ ДОШЪЛ! :)

Добре заварил :)
От различни IP-та идват и товарят процесора на 100%.
Ами играта е глобална.. в смисъл такъв всеки може да започне да играе (не е в локална мрежа).

Чаках някой друг да каже нещо ... Всъщност, кой процесор е на 100% - виртуалния или реалния?

Чаках някой друг да каже нещо ... Всъщност, кой процесор е на 100% - виртуалния или реалния?

Виртуалният.
Казаха ми, че чрез iptables може да се филтрират пакетите към виртуалната машина и да се ограничи flood.

Ами не не може ... тук е говорено доста по темата:
http://www.linux-bg.org/forum/index.php?topic=38580.0 ($2)
С няколко думи ... Дори да филтрираш пакетите да не се допускат от сървъра ти, те пак пристигат но не се приемат. Единственото решение е да имаш по-голяма скорост на download отколкото скоростта на upload на атакуващите. Мен ако питаш потърси съдействие от доставчика ти.

borovaka, той в случая не се оплаква от препълване на Интернет канала , а от претоварване на вирт. CPU

Ами ок тогава, но така като чета няма нищо свързано с Линукс и iptables тук. Ти имаш windows-ка виртуална машина която ти търкаля сървъра, тя взима директно ip от рутер. Сложи си някой firewall на windows-a и ограничи съответните IP-та.

Може да се натовари Федората да филтрира нежеланите пакети, но как - не мога да предложа вариант.

Всъщност тук би трябвало да е друг проблем. При наличие на VirtualBox се създава NAT (настройката по подразбиране), виртуалната машина получава собствен IP адрес, който е невидим от вън. Това означава, че по никакъв начин тя не може да е обект на атака. Дори и да има атака, тя е към Host-а.

За да се получи по-ясна представа е важно да ни отговорите на следните въпроси:
1. Каква е настройката на VirtualBox на мрежовата връзка?
2. Атаките продължават ли, ако се спре виртуалната машина?
3. Как точно се разбра, че това е "атака"? Възможно ли е да вървят пакети от сървърите/други геймъри за синхронизация на играта?

@vixon Той човека е написал, че виртуалката взима IP от рутера, това означава, че мрежата е настроена на Bridge. Та за това си мисля, че атакуват директно виртуалната машина.

@vixon Той човека е написал, че виртуалката взима IP от рутера, това означава, че мрежата е настроена на Bridge. Та за това си мисля, че атакуват директно виртуалната машина.

Бях на Windows и от там почнаха атаките. Следях ги през Sygate Firewall & още един Firewall.
В момента атаките продължават. Атакуват ми директно портовете, като пренатоварват apache Gameserver etc.
Минах на линук, като ми казаха, че има вариянт с него да нямам проблеми, за това се обръщам към вас.
Виртуалната машина е на Bridge да.

На мен нещо не ми стана много ясно, Реалната машина която е с Федора 16 ли играе и рутер от който виртуалната с ХП в бридж си взема по днсп ип и са в една мрежа или и двете са зад отделно хардуерно устройство - рутер!?
Ако и двете машини са зад рутер, то няма какви настройки да прави във Федора-та защото, пакетите не минават изобщо през нея! Настройките до колкото ги има се правят в самия фаеруол на рутера. Ако камела влиза директно в хост машината, то тогава тя е и фаеруол към виртуалката и с инструментите на линукс фаеруола да филтрира към IP-то на виртуалката.

На мен нещо не ми стана много ясно, Реалната машина която е с Федора 16 ли играе и рутер от който виртуалната с ХП в бридж си взема по днсп ип и са в една мрежа или и двете са зад отделно хардуерно устройство - рутер!?
Ако и двете машини са зад рутер, то няма какви настройки да прави във Федора-та защото, пакетите не минават изобщо през нея! Настройките до колкото ги има се правят в самия фаеруол на рутера. Ако камела влиза директно в хост машината, то тогава тя е и фаеруол към виртуалката и с инструментите на линукс фаеруола да филтрира към IP-то на виртуалката.

Фактически се явява, че и 2-те машини и Fedora и виртуалната са зад рутер. Точно така, виртуалната взма IP директно от рутера.
Въпросът е там, че всичко се хоства от виртуалната машина и искам да направя така, че всичко да минава първо през Linux-a после към виртуалната..

Цитат на: backinblack в Nov 29, 2011, 20:43

На мен нещо не ми стана много ясно, Реалната машина която е с Федора 16 ли играе и рутер от който виртуалната с ХП в бридж си взема по днсп ип и са в една мрежа или и двете са зад отделно хардуерно устройство - рутер!?
Ако и двете машини са зад рутер, то няма какви настройки да прави във Федора-та защото, пакетите не минават изобщо през нея! Настройките до колкото ги има се правят в самия фаеруол на рутера. Ако камела влиза директно в хост машината, то тогава тя е и фаеруол към виртуалката и с инструментите на линукс фаеруола да филтрира към IP-то на виртуалката.

Фактически се явява, че и 2-те машини и Fedora и виртуалната са зад рутер. Точно така, виртуалната взма IP директно от рутера.
Въпросът е там, че всичко се хоства от виртуалната машина и искам да направя така, че всичко да минава първо през Linux-a после към виртуалната..

Значи, ако искаш да минава всичко през линукс-а и после да отива във виртуалката, ще трябва да му сложиш още една лан карта, да боднеш WAN-а в линукс-а, на хардуерния рутер, който предполагам ти и Wi-Fi точка, да му спреш днсп-то и да го ползваш само за суич, а хост машината да ти играе рутер и NAT.

РЕШЕНИЕ: Ако сте паралии да давате за 2mbps гарантиран -> ~100лв. в колоцентър с всички защити и пр. (за 10mbps -> ~600лв.) - тогава всичко е ОК

Този цитат е от последното мнение на темата дето боровака е дал линк и у мен неволно изникна въпроса, тези които предлагат нет на тези цени, по какъв начин/технология са намерили решение!?

Опит да върна темата...
Ако ще спираме нещо с iptables, трябва да можем да разграничим желаните пакети от нежеланите. И ако ще спираме нещо, трябва да сме сигурни, че никой потребител няма да "пострада" (или поне да са малко на брой).
Как ще разграничим полезните от нежеланите пакети, след като те идват от различни IP-та към нашите работни портове?

Цитат на: Achov в Nov 29, 2011, 20:54

Цитат на: backinblack в Nov 29, 2011, 20:43

На мен нещо не ми стана много ясно, Реалната машина която е с Федора 16 ли играе и рутер от който виртуалната с ХП в бридж си взема по днсп ип и са в една мрежа или и двете са зад отделно хардуерно устройство - рутер!?
Ако и двете машини са зад рутер, то няма какви настройки да прави във Федора-та защото, пакетите не минават изобщо през нея! Настройките до колкото ги има се правят в самия фаеруол на рутера. Ако камела влиза директно в хост машината, то тогава тя е и фаеруол към виртуалката и с инструментите на линукс фаеруола да филтрира към IP-то на виртуалката.

Фактически се явява, че и 2-те машини и Fedora и виртуалната са зад рутер. Точно така, виртуалната взма IP директно от рутера.
Въпросът е там, че всичко се хоства от виртуалната машина и искам да направя така, че всичко да минава първо през Linux-a после към виртуалната..

Значи, ако искаш да минава всичко през линукс-а и после да отива във виртуалката, ще трябва да му сложиш още една лан карта, да боднеш WAN-а в линукс-а, на хардуерния рутер, който предполагам ти и Wi-Fi точка, да му спреш днсп-то и да го ползваш само за суич, а хост машината да ти играе рутер и NAT.

А няма ли да е по-лесно да му задам NAT IP по подразбиране в настройките на Virtual Box-a?

Не ми е силна тема рутирането, но за такива сложни работи ми се струва, че трябва да ползва спезиализирана ретерна ос! Специализираната рутерна ос си има лесни и мощни инструменти за такива цели.
Аз при мен съм приложил ей този ($2) туториал, но в линукс хост. Рутер ми е специализирана ос на виртуалка и реалната и виртуалните ми машини са зад нея, а tp-link-а ми е само суич.

...за такива сложни работи ми се струва, че трябва да ползва спезиализирана рутерна ос!...

Не си прав.

Цитат на: backinblack в Nov 29, 2011, 22:07

...за такива сложни работи ми се струва, че трябва да ползва спезиализирана рутерна ос!...

Не си прав.

Верно, че теци рутерни ОС-и са линукс базирани и следователно и без специализирана ос може да се постигне същия резултат, но с цената на доста повече знания и умения.

Цитат на: laskov в Nov 29, 2011, 22:22

Цитат на: backinblack в Nov 29, 2011, 22:07

...за такива сложни работи ми се струва, че трябва да ползва спезиализирана рутерна ос!...

Не си прав.

Верно, че теци рутерни ОС-и са линукс базирани и следователно и без специализирана ос може да се постигне същия резултат, но с цената на доста повече знания и умения.

Според мен и това не е вярно. Например, pfsense не е базирано на линукс (за микротика няма да споря, но май си е някаква собственическа разработка?).  И за уменията пак може да се поспори :}

Да, pfSense е БСД, но Вията, Астаро и други, които са май с доста по-мощни инструменти и настройки са Линукс!

И сега опираме до къде?

//off

Сега опираме до начупване на ръцете на флудерите с тръба (както е рекъл навремето Боровака).

И сега опираме до къде?

Кое до къде!? Ако виртуалката ти взема нет директно от рутера, в линукс хоста нищо не можеш да филтрираш! Филтрирането до колкото е възможно се прави в рутера и тогава ще има пък да ти зависва рутера щото, ще му дойде слабо процесорчето и рама.

Това което аз съм си направил с pfSense, става с всяка рутерна ос! Харесваш си една от тези ($2) и действаш, но при всички варианти, кабела ти е забоден в хоста който е с 2 лан карти, а рутера само за суич.

VirtualBox с NAT и проблемът е решен.
Опитай се да ме атакуваш мен, моето IP e 192.168.0.101

VirtualBox с NAT и проблемът е решен.
Опитай се да ме атакуваш мен, моето IP e 192.168.0.101

Какво значение има какво ти е вътрешното IP? Или ти си мислиш, че като си с частно IP рутера ти и той ще е с такова. Всъщност може да си прав, ако доставчика ти е някоя квартална кабеларка и до теб да стига, например: 192.168.0.1

Ако имаме рутер и нашият компютър е зад рутера, няма никаква технология за атака към задния компютър. Всичкия негатив ще го обере рутера, но той пък за това е направен. Най-вероятно самия рутер има реално IP, но крие всички зад него. Не съм ли прав? Оборете ме...

@vixon Ми той човека иска да пуска сървър ... при това положение дори и да е NAT към хоста, ще трябва да отпуши портовете на хост машината а после и на рутера за да може все пак да се връзват към тоя сървър. И пак изпадаме в същото положение ...
п.с.
Още си държа на мнението, че най доброто решение е с тръбата по капачките или по пръстите да не могат да пипнат скоро клавиатура ...

Ако имаме рутер и нашият компютър е зад рутера, няма никаква технология за атака към задния компютър. Всичкия негатив ще го обере рутера, но той пък за това е направен. Най-вероятно самия рутер има реално IP, но крие всички зад него. Не съм ли прав? Оборете ме...

Прав си, връзката му най-вероятно е по пппое до рутера и реалната и виртуалната машина са зад рутера, който си е NAT, но тука проблема е, че той за да играе там в тази мрежа, пренасочва портове от рутера към виртуалния компютър и се открива и го флудявата и трябва нещо да филтрира пакетите които са пренасочени към това вътрешно ИП ;)

//off

Още си държа на мнението, че най доброто решение е с тръбата по капачките или по пръстите да не могат да пипнат скоро клавиатура ...

Оле колко прав само :D :D :D

//off

Цитат на: borovaka в Nov 30, 2011, 18:32

Още си държа на мнението, че най доброто решение е с тръбата по капачките или по пръстите да не могат да пипнат скоро клавиатура ...

Оле колко прав само :D :D :D

Да ама малко да почака да утихнат нещата покрай последните инциденти на насилие между децата :D