Logo mark Archiwum

Problem z konfiguracją IPTables pod ochronę przed atakami

Zombie
ts3, zabezpieczenia
PiciuU
PiciuU

Hejka, piszę do was gdyż już nie mam pomysłu o co może chodzić. W ostatnim tygodniu na nasz serwer VPS przeprowadzane były ataki DoS od konkurencji teamspeakowych więc doszedłem do wniosku że trzeba w końcu zabrać się za firewalla i poustawiać tego iptables gdyż wcześniej odkładałem go w czasie.

Początkowo puściłem ipstressera na serwer i ten od razu przestał poprawnie reagować. Tutaj stwierdziłem że konfiguracja iptables musi zostać zrobiona. Tak też postąpiłem, poustawiałem parę reguł i wszystko działało dobrze, puściłem ponownie stressera i serwer nei wykazywał nawet 0,01 straconego pakietu. Było dobrze do dnia dzisiejszego, około godziny 15:30 serwer TS3 się wyłączył z komunikatem Server Shutdown, więc tak jakby ktoś go wyłączył ręcznie. Nie pomagały próby restartowania go, dopiero restart całego VPS pomógł. Ponownie skonfigurowałem iptables w ten sam sposób i po 5 minutach nagle znowu serwer przestał odpowiadać. Teraz nawet restart VPS był niemożliwy z jakiegoś powodu, dopiero po paru minutach udało się zrestartować a iptables przywróciły się ponownie do stanu początkowego. Tutaj jest moja prośba, mógłby mnie ktoś nakierować co w tych zasadach jest nieodpowiedniego, że nagle serwer po nieokreślonym czasie przestaje jakkolwiek odpowiadać? Naprawdę nie mam pomysłu czemu tak się dzieje ;/

Iptablesy zacząłem od zablokowania wszystkich portow

iptables -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 9987 -j ACCEPT iptables -A INPUT -p udp -m udp --dport 9991 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 5103 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 8087 -j ACCEPT

iptables -I INPUT -p tcp --dport 10011 -j DROP iptables -I INPUT -s localhost -p tcp --dport 10011 -j ACCEPT iptables -I INPUT -s 195.242.116.61 -p tcp --dport 10011 -j ACCEPT

Następnie odblokowuje dla serwerów gametrackera oraz otwieram port do przesyłania plików 30033.

Mógłby mnie ktoś nakierować czy te zasady są dobre czy złe i ewentualnie coś poradzić? Na VPS główną usługą jest TeamSpeak, więc jedyne porty jakie chce mieć otworzone to związane z nim, port dla ssh 5103, port sinusbosa oraz ewentualnie porty do serwerów gier gdy trzeba.

Anno
Anno
PiciuU
PiciuU

Przecież napisałem te co odblokowywałem i jest tam TeamSpeak. Dodatkowo jakby były zamknięte to teamspeak automatycznie przestałby odpowiadać a przestaje po różnym czasie 5 min, za pierwszym razem po 30 godzinach

Infinity
Infinity

Ten iptables co dałeś to jest, że tak powiem "do niczego". Nie ma tutaj żadnego filtrowania portow, jedynie zablokowanie portow nie uzywanych i otwarcie portow dot. TS3/ssh/sinusbot/etc.

Z tego co opisujesz, wygląda to na UDP Flood kierowany w port TS3 lub też atak aplikacyjny.

Używasz KVM czy OpenVZ?

VPS podczas "ataku" całkiem ci nie odpowiada czy tylko TS3 (ssh dziala?)?

PiciuU
PiciuU

OpenVZ. Jeżeli chodzi o atak to tak, robiłem UDP Flood na stronie ipstressera 200mbps i teamspeak od razu przestawał odpowiadać. Jak wprowadziłem te zasady które podałem powyżej i puściłem ponownie z teamspeakiem nic się już nie działo. Co do ataków takich prawdziwych gdzie robi je jakieś inna osoba, wtedy nie odpowiadało nic (Nie wiem jak by się zachowała maszyna przy ataku po wprowadzeniu tych iptables co podałem). Nie mogę wejść na ssh czy ftp więc cały vps przestaje odpowiadać w zasadzie.

Timo
Timo Moderator forum.lvlup.pro

PiciuU:

Server Shutdown To również może wskazywać na problem z licencją, a konkretniej problem z pobraniem informacji z serwera licencyjnego TS-a.

PiciuU
PiciuU

Też właśnie od razu pomyślałem że może coś z licencją ale patrzyłem czy dostałem coś od teamspeaka i nic nie było. Po uruchomieniu calego vps ponownie i nie wprowadzaniu tych iptables co podałem serwer teraz działa normalnie no ale jakby nie patrzeć jest podatny na ataki

Infinity
Infinity

Timo:

To również może wskazywać na problem z licencją, a konkretniej problem z pobraniem informacji z serwera licencyjnego TS-a.

Sprawdzanie licencji odbywa się po godzinie jego działania, nie na samym początku - więc nie ma prawa paść po 5 minutach, nawet jesli licka jest problemem.

PiciuU:

no ale jakby nie patrzeć jest podatny na ataki

Używasz OpenVZ - który jest podatny na ataki. Moja propozycja - przejdź na VPS KVM GAME PRO. Nie masz tutaj dużej opcji do manewru. iptables duzo ci nie pomoze.

anon10657637
anon10657637

PiciuU:

OpenVZ

Zmieniaj na KVM - ze względu na lepszą ochronę i stabilniejsze jądro + brak większości ograniczeń do iptables.

PiciuU
PiciuU

Planujemy niebawem zainwestować w inną maszynę tylko też nie mam pewności co lepsze. Patrzyłem na różne serwery i net-speak podobno jest całkiem dobry, mają ofertę Voice VPS za 33 zł, w zasadzie zależy mi głównie na tym żeby to TS był na stabilnej maszynie.

Co do tych iptables wiem że niestety openvz i to jeszcze u hekko nie jest zbytnio chroniony ale dziwi mnie czemu nagle po wprowadzeniu tych zasad do iptables serwer przestaje po randomowym czasie działać kiedy wczoraj na tych samych działał bez problemów

anon10657637
anon10657637

PiciuU:

Patrzyłem na różne serwery i net-speak podobno jest całkiem dobry, mają ofertę Voice VPS za 33 zł, w zasadzie zależy mi głównie na tym żeby to TS był na stabilnej maszynie.

Hosteam lub stabilność - wybierz jedno. Jeżeli lubisz szaleć to możesz spróbować z Dropletami w DigitalOcean, a jak nie to zainwestuj w KVMke na lvlup.pro

Infinity
Infinity

Polecam KVM GAME PRO na lvlupie. Ochrona portu UDP dla TS3 (OVH GAME) zazwyczaj starcza, do tego spory zasób łącza i infrastruktury. Trzeba na prawde sporego ataku, aby go przebić. Osobiscie korzystam z niego juz jakis czas i brak problemow.

W net-speak bym sie nie pchal. Hekko podobnie.

Co do reguł to zapewne było to tak:

  1. Leciał atak, twoj ts3 padl
  2. dodales regulki, atak zablokowany
  3. zmieniony typ ataku na taki, ktory ci wywalil vpsa w kosmos
  4. koniec ;)
Jebanany
Jebanany

Jeśli ktoś spodziewa się, że za kilkanaście złotych postawi sobie serwer i go dobrze zabezpieczy - jest w ogromnym błędzie. Po prostu się nie da. Kup coś na OVH GAME albo u hostera ukierunkowanego na hostowanie TS 3.