|
- Tibia http://www.tibia-76.pun.pl/index.php - Linux http://www.tibia-76.pun.pl/viewforum.php?id=16 - Linux - Konfiguracja http://www.tibia-76.pun.pl/viewtopic.php?id=9 |
| Rolus - 2013-07-11 20:47:26 |
Poniższy poradnik powinien działać na prawie każdym systemie opartym na linuxie. Kod:Kod: # cd /usr/src # mkdir utils # cd utils # wget http://rfxnetworks.com/downloads/apf-current.tar.gz # tar xfz apf-current.tar.gz # cd apf-* # ./install.sh I już zainstalowane… ale nie gotowe. W plikach README.apf i README.antidos znajdziesz opisy konfiguracji, które warto przeczytać. Teraz wypada zmienić trochę konfigurację. Edytuj plik /etc/apf/conf.apf i zmień następujące linie: Kod:Kod: DEVEL_MODE=”0” IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,3306” IG_UDP_CPORTS=”53,111” USE_AD=”1” Teraz krótkie wyjaśnienie: Pierwsza linijka – wyłączamy development mode. Druga linijka: Określamy dozwolone porty WEJŚCIOWE TCP. Bardzo ważne by nie zapomnieć np o porcie 22 dla SSH i wszystkich innych nam potrzebnych. Trzecie linijka, to samo tylko, że porty UDP. Tutaj głównie DNS (port 53), Portmapper (port 111). Na końcu uruchamiamy AntiDDoS (czwarta linijka). Kod:Kod: # apf –start Jeśli wyświetli Ci się błąd (Unable to load iptables module (ip_tables), aborting), dodaj w configu APF (tym co wyżej), linię “SET_MONOKERN 1”. Kod:Kod: # cd /usr/src/utils # mkdir ddos # cd ddos # wget http://www.inetbase.com/scripts/ddos/install.sh # sh install.sh Teraz konfiguracja: W pliku/usr/local/ddos/ddos.conf możesz zwiększyć czasy blokad (banów na IP). Odpalamy: Kod:Kod: # /usr/local/ddos/ddos.sh -c Gotowe. DDoS Deflate został dodany do crona. co 5 minut uruchamia się i blokuje adresy IP w APF, które mają więcej niż ilość połączeń ustawiona w configu na czas określony w configu. Polecam czas blokady zwiększyć. Kod:Kod: iptables -A INPUT -p ICMP –icmp-type echo-request -m length –length 60:65535 -j ACCEPT Blokada przed atakiem DOS – Teardrop Kod:Kod: iptables -A INPUT -p UDP -f -j DROP Blokada przed atakiem DOS – SYN-flood Kod:Kod: iptables -A INPUT -p TCP –syn -m iplimit –iplimit-above 9 -j DROP Blokada przed atakiem DOS – Smurf Kod:Kod: iptables -A INPUT -m pkttype –pkt-type broadcast -j DROP iptables -A INPUT -p ICMP –icmp-type echo-request -m pkttype –pkttype broadcast -j DROP iptables -A INPUT -p ICMP –icmp-type echo-request -m limit –limit 3/s -j ACCEPT Blokada przed atakiem DOS – UDP-flood (Pepsi) Kod:Kod: iptables -A INPUT -p UDP –dport 7 -j DROP iptables -A INPUT -p UDP –dport 19 -j DROP Blokada przed atakiem DOS – SMBnuke Kod:Kod: iptables -A INPUT -p UDP –dport 135:139 -j DROP iptables -A INPUT -p TCP –dport 135:139 -j DROP Blokada przed atakiem DOS – Connection-flood Kod:Kod: iptables -A INPUT -p UDP -m pkttype –pkt-type broadcast -j DROP iptables -A INPUT -p UDP -m limit –limit 3/s -j ACCEPT Blokada przed atakiem DOS – Jolt Kod:Kod: iptables -A INPUT -p ICMP -f -j DROP Istnieje możliwość, że system zastrajkuje z powodu braku w kernelu jakiegoś modułu, wtedy należy sobie przekompilować jajko lub… dać sobie spokój jeśli to za trudne, piszę o tym tylko dlatego, zebyście wiedzieli, że tak może być. |