PickPickPick
| по поводу баннера
обращайтесь к администратору ADM
Меню сайта

Категории раздела
Клиенты [4]
Программы [1]
Сервера [6]
Для сервера [6]
Неопределенное [0]

Главная » Файлы » Lineage 2 » Для сервера

Для lineage 2 сервера - Защита от Dos/DDos атак
08.11.2012, 10:37

Наставление о том, будто с поддержкой простейших правил можно обезопасить собственный компьютер от Dos и даже DDos атак.

Те, кто знаю Linux, разумеют, на сколько покойно использовать iptables для создания правил, какой будут отражать все штурмующие зомби-машины, с поддержкой этих защит можно огородить не всего собственный Lineage 2 Java сервер, однако и иные серверы либо новоиспеченные браузерные игры.

Однако к счастью, или к сожалению(для хакеров), на Windows'e тоже жрать подобная софтина, и зовется она - wipfw. И ныне я расскажу Вам будто использовать их в своих мишенях.

Скачать Вы можете её напрямик у нас на сайте lasteam.ru:
Скачать для Windows x32 - скачать
Скачать для Windows x64 - скачать

Разархивируем настоящий софт в любую папку, и устанавливаем(запускаем install.bat).
Пятерка, вот и все, софт введен - типовые правила записаны. 

Однако согласитесь, не больно покойно вносить правила в команду, если их больно бессчетно, оттого мы будем использовать файл "wipfw.conf", какой будет в корне программы - в него записываются типовые правила, а для того, чтоб они загрузились, надобно запустить "loadrules.cmd", какой будет в папке bin.

С этого момента, если Вы пробежите DOC по командам ipfw, Вы уже можете написать важнецкую защиту.

Однако я хочю Вам, будто образец, предоставить структуру своего файла "wipfw.conf", что вероятно упростит Вашу настройку защиты.

Для азбука, выложу всецело тяни файл, а отдаленнее мы будем разбирать всякую строку.

И настолько, мой "wipfw.conf" выглядит настолько:

# FireWall Rules
-f flush
add 1 allow tcp from any to any 53
add 2 allow tcp from any 53 to any
add 3 allow udp from any to any 53
add 4 allow udp from any 53 to any

add 10 allow tcp from 195.16.88.3 to me

add 100 allow tcp from me to any
add 120 allow tcp from 192.0.0.0/8 to any
add 120 skipto 10000 tcp from 2.0.0.0/8 to any
add 120 skipto 10000 tcp from 66.0.0.0/8 to any
add 120 skipto 10000 tcp from 46.0.0.0/8 to any
add 120 skipto 10000 tcp from 62.0.0.0/8 to any
add 120 skipto 10000 tcp from 77.0.0.0/8 to any
add 120 skipto 10000 tcp from 78.0.0.0/8 to any
add 120 skipto 10000 tcp from 79.0.0.0/8 to any
add 120 skipto 10000 tcp from 80.0.0.0/8 to any
add 120 skipto 10000 tcp from 81.0.0.0/8 to any
add 120 skipto 10000 tcp from 82.0.0.0/8 to any
add 120 skipto 10000 tcp from 83.0.0.0/8 to any
add 120 skipto 10000 tcp from 84.0.0.0/8 to any
add 120 skipto 10000 tcp from 85.0.0.0/8 to any
add 120 skipto 10000 tcp from 86.0.0.0/8 to any
add 120 skipto 10000 tcp from 87.0.0.0/8 to any
add 120 skipto 10000 tcp from 88.0.0.0/8 to any
add 120 skipto 10000 tcp from 89.0.0.0/8 to any
add 120 skipto 10000 tcp from 90.0.0.0/8 to any
add 120 skipto 10000 tcp from 91.0.0.0/8 to any
add 120 skipto 10000 tcp from 92.0.0.0/8 to any
add 120 skipto 10000 tcp from 93.0.0.0/8 to any
add 120 skipto 10000 tcp from 94.0.0.0/8 to any
add 120 skipto 10000 tcp from 95.0.0.0/8 to any
add 120 skipto 10000 tcp from 109.0.0.0/8 to any
add 120 skipto 10000 tcp from 178.0.0.0/8 to any
add 120 skipto 10000 tcp from 188.0.0.0/8 to any
add 120 skipto 10000 tcp from 193.0.0.0/8 to any
add 120 skipto 10000 tcp from 194.0.0.0/8 to any
add 120 skipto 10000 tcp from 195.0.0.0/8 to any
add 120 skipto 10000 tcp from 212.0.0.0/8 to any
add 120 skipto 10000 tcp from 213.0.0.0/8 to any
add 120 skipto 10000 tcp from 217.0.0.0/8 to any
add 120 skipto 10000 tcp from 204.16.252.109 to any
add 120 skipto 10000 tcp from 38.99.77.20 to any
# GOOGLE
add 120 skipto 10000 tcp from 74.125.95.93 to any
add 120 skipto 10000 tcp from 74.125.127.93 to any
add 120 skipto 10000 tcp from 74.125.43.99/16 to any
add 120 skipto 10000 tcp from 209.85.135.95/16 to any
add 120 skipto 10000 tcp from 64.12.202.116/16 to any
# depositfiles
add 120 skipto 10000 tcp from 208.88.224.248/24 to any
# DynDNS
add 120 skipto 10000 tcp from 204.13.248.117/16 to any
add 200 skipto 10000 icmp from any to any in icmptype 5,9,13,14,15,16,17 
add 500 deny all from any to any


add 10000 allow tcp from any to any 80,443,49441,5938,4344,9019,5190
add 10001 allow tcp from any 80,443,49441,5938,4344,9019,5190 to any
add 10002 allow tcp from any to me 7777 setup limit src-addr 15 in
add 10003 allow tcp from any to me 2106 setup limit src-addr 5 in
add 10005 allow tcp from any to any 7777 out
add 10006 allow tcp from any to any 2106 out
add 10500 deny all from any to any

И настолько, поехали...

-f flush

- Удаляю все записи, какие были у меня до этого момента.

add 1 allow tcp from any to any 53
add 2 allow tcp from any 53 to any
add 3 allow udp from any to any 53
add 4 allow udp from any 53 to any

- Выказываю порты для получения и отправки настоящих к серверам DNS

add 10 allow tcp from 195.16.88.3 to me

- Выказываю настоящему ip(ip моего хостинга)все порты и дозволяю передавать мне любую информацию

add 100 allow tcp from me to any

- Дозволяю себе передавать информацию любому серверу на всех портах

add 120 allow tcp from 192.0.0.0/8 to any

- Дозволяю своим локальным компьютерам передавать информацию любому серверу на всех портах

add 120 skipto 10000 tcp from 2.0.0.0/8 to any
add 120 skipto 10000 tcp from 66.0.0.0/8 to any
add 120 skipto 10000 tcp from 46.0.0.0/8 to any
add 120 skipto 10000 tcp from 62.0.0.0/8 to any
add 120 skipto 10000 tcp from 77.0.0.0/8 to any
add 120 skipto 10000 tcp from 78.0.0.0/8 to any
add 120 skipto 10000 tcp from 79.0.0.0/8 to any
add 120 skipto 10000 tcp from 80.0.0.0/8 to any
add 120 skipto 10000 tcp from 81.0.0.0/8 to any
add 120 skipto 10000 tcp from 82.0.0.0/8 to any
add 120 skipto 10000 tcp from 83.0.0.0/8 to any
add 120 skipto 10000 tcp from 84.0.0.0/8 to any
add 120 skipto 10000 tcp from 85.0.0.0/8 to any
add 120 skipto 10000 tcp from 86.0.0.0/8 to any
add 120 skipto 10000 tcp from 87.0.0.0/8 to any
add 120 skipto 10000 tcp from 88.0.0.0/8 to any
add 120 skipto 10000 tcp from 89.0.0.0/8 to any
add 120 skipto 10000 tcp from 90.0.0.0/8 to any
add 120 skipto 10000 tcp from 91.0.0.0/8 to any
add 120 skipto 10000 tcp from 92.0.0.0/8 to any
add 120 skipto 10000 tcp from 93.0.0.0/8 to any
add 120 skipto 10000 tcp from 94.0.0.0/8 to any
add 120 skipto 10000 tcp from 95.0.0.0/8 to any
add 120 skipto 10000 tcp from 109.0.0.0/8 to any
add 120 skipto 10000 tcp from 178.0.0.0/8 to any
add 120 skipto 10000 tcp from 188.0.0.0/8 to any
add 120 skipto 10000 tcp from 193.0.0.0/8 to any
add 120 skipto 10000 tcp from 194.0.0.0/8 to any
add 120 skipto 10000 tcp from 195.0.0.0/8 to any
add 120 skipto 10000 tcp from 212.0.0.0/8 to any
add 120 skipto 10000 tcp from 213.0.0.0/8 to any
add 120 skipto 10000 tcp from 217.0.0.0/8 to any

- Все СНГ пользователи(т.е - тут IP всей СНГ)перебрасываются на правило №10000

add 120 skipto 10000 tcp from 204.16.252.109 to any
add 120 skipto 10000 tcp from 38.99.77.20 to any
add 120 skipto 10000 tcp from 74.125.95.93 to any
add 120 skipto 10000 tcp from 74.125.127.93 to any
add 120 skipto 10000 tcp from 74.125.43.99/16 to any
add 120 skipto 10000 tcp from 209.85.135.95/16 to any
add 120 skipto 10000 tcp from 64.12.202.116/16 to any
add 120 skipto 10000 tcp from 208.88.224.248/24 to any
add 120 skipto 10000 tcp from 204.13.248.117/16 to any

- Добавочные серверы, какие подключаясь ко мне будут перебрасываться на правило №10000 - За полосой СНГ(Тут google, depositfiles, imageshacke, youtube)

add 200 skipto 10000 icmp from any to any in icmptype 5,9,13,14,15,16,17

- Закрываем порты от сканирование(ладим невидимыми)

add 500 deny all from any to any

- Отклоняем все пакеты, что дошли к настоящему правилу.(Запретить все что сюда дошло)


add 10000 allow tcp from any to any 80,443,49441,5938,4344,9019,5190
add 10001 allow tcp from any 80,443,49441,5938,4344,9019,5190 to any

- Выказываю надобные мне порты для использования, тут http, skype, icq 

add 10002 allow tcp from any to me 7777 setup limit src-addr 15 in
add 10003 allow tcp from any to me 2106 setup limit src-addr 5 in

- Выказываю порт 7777 и 2106 для подсоединения ко мне, с максимальным числом подсоединение с одного IP(для логин сервера)5 и(для гейм сервера)15.

add 10005 allow tcp from any to any 7777 out
add 10006 allow tcp from any to any 2106 out

- Ещё-раз дозволяю себе отзываться пакеты на портах 7777 и 2106(это не беспременно, настолько будто на правиле №100 мы разрешили себе отзываться от себя все и на всех портах)


add 10500 deny all from any to any

- Отклоняем все, что дошло до настоящего правила


Вот и все, также алкаю взговорить, что все правила выполняются в последовательности их номеров, это больно величаво!
Если Вы вначале поставите правило, какие будет возбранять это, а после добавите правило для позволения подключений, оно будет нерабочим.

Небольшой комментарий того, что предоставлено в моих правилах:
- Дозволяют доступ к себе всего местностям СНГ и надобным нам серверам(А зачем нам Великобритания или Африка?Не кумекаю что потенциальный игроки там будут, однако вот бот-машины там аккуратно жрать).
- Закрываем все порты, исключая надобные нам и игровые порты.
- Устанавливаем ограничение на подключение к игровым портам с 1 IP.

Вот и все, несколько правил, и Ваш компьютер защищен!

Добавлю занимательную информацию:
Функция deny - роняет пакет.
Функция skipto [number] - перебрасывает пакет на показанное правило, если его дудки, выступает отдаленнее по списку(возвышеннее по номеру).
Функция allow - пропуска пакет.
Для добавления правил сквозь cmd, в взялось надобно добавлять ipfw.
Для очистки всех правил, наберите в cmd - ipfw -f flush
Для просмотра всех правил, наберите в cmd - ipfw list

Команда в cmd для блокировки конкретного ip: 
ipfw add 10 deny tcp from 10.10.10.10 to any 
( ip 10.10.10.10 будет заблокирован)

Команда в cmd для блокировки под-сети пользователя:
ipfw add 10 deny tcp from 10.10.10.10/24 to any 
( ip 10.10.10.0 - 10.10.10.255 будут заблокированы)

ipfw add 10 deny tcp from 10.10.10.10/16 to any
( ip 10.10.0.0 - 10.10.255.255 будут заблокированы)

Для анализирование подключений к себе на компьютер, используйте команду в cmd - netstat
Также Вы можете взирать, сколько подключений было выслано к Вам и сколько деятельных сейчас. Больно попросту наглядно отыскать бот-машины и добавить их ip/под сеть в бан с поддержкой ipfw(на образцах будто возвышеннее)

А с поддержкой команды netstat -n | find "2106"
Вы завидите все подключения на порт 2106.
Намного покойнее вкалывать врозь с подключения к конкретному поту, чем со всеми вкупе.

На этом я кумекаю стоит закончить. Исследуйте DOC по правилам ipfw(сылка на них была возвышеннее), и катайте свои правила, либо переписывайте мои. 

Всем благодарствую за внимание и фортуны в "отбивании" бот-машин.
Категория: Для сервера | Добавил: FackaX2
Просмотров: 2366 | Загрузок: 2 | Комментарии: 1 | Рейтинг: 3.0/2
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск по файлам

Мини профиль
Пятница
29.03.2024
18:55

Логин:
Пароль:
[ Управление профилем ]

Топ файловиков

Баннеры
Мы в vk 
Стримы, обзоры, онлайн трансляции на заказ 
http://prom-dp.at.ua - Новости Днепропетровска, Украины и всего мира!

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
----------------------------
Зарегистрированных
Всего:
101
Новых за месяц: 0
Новых за неделю: 0
Новых вчера: 0
Новых сегодня: 0


Администрация не несет ответственности за содержимое сайта. Все материалы на сайте принадлежат исключительно их владельцам!
GAMAFAKA © 2024