LINUX.ORG.RU
ФорумAdmin

защита сервера на udp-фронте

 , ,


0

1

с самого начала линукса на домашнем сервере там, естессно, живёт iptables с десятком-другим правил, преимущественно для tcp. вот, недавно заинтересовался такой темой, как mosh и всерьёз задумался над защитой сервера с реальным адресом от udp атак. ну это в первую очередь флуд, конечно, но вообще не очень силён с udp, так что......
в общем, может у кого-то есть опыт, стоит ли закрывать udp порты, какие из них наиболее критичны, итд, итп

★★★★

Последнее исправление: Klymedy (всего исправлений: 1)

iptables с десятком-другим правил, преимущественно для tcp.

стоит ли закрывать udp порты,

у тебя блеклист какой-то шоле? Вообще закрой все, кроме 53. Хотя это не сильно поможет.

xpahos ★★★★★
()

какие из них наиболее критичны

навскидку можно сказать 53, если в сети есть windows то 3389

dada ★★★★★
()

странные вопросы. закрывать надо по умолчанию все, и разрешать только то что необходимо. есть ли у тебя какие-то сервисы которые должны обслуживать запросы из вне?

val-amart ★★★★★
()
Ответ на: комментарий от dada

навскидку можно сказать 53, если в сети есть windows то 3389

3389 это RDP, а RDP это TCP. Может вы хотели сказать 135/137/139?

Если не используются всяческие Skype и IPTV, можно смело блокировать весь входящий UDP кроме ответов на свои же запросы (RELATED,ESTABLISHED). Если используются - тут чуть сложнее, но проблема тоже решается (например, укзанием программам использовать строго указанный порт и разрешением именно этого порта).

Nastishka ★★★★★
()

Закрывай все, кроме 53 и чего еще используешь. А от флуда это все равно не поможет. Пакеты-то уже пришли.

gadfly ★★
()
Ответ на: комментарий от gadfly

Закрывай все, кроме 53

-m state --state RELATED,ESTABLISHED поможет с DNS, а кеширующий named на этом сервере навряд ли поднят.

От udp флуда, направленного (как правило) на забиваение канала iptables не спасают

red_eyed_peguin
()
Ответ на: комментарий от dada

rdp и по udp работает.

Вы знаете, мои служебные Windows 7, Windows 2003, Windows XP и Windows 2008 об этом ничего не знают :-) Может в другом, параллельном мире все приложения используют и TCP и UDP как это и написано в /etc/services - но в нашем мире следует верить далеко не всему, что написано в указанном файле :-)

Nastishka ★★★★★
()
Ответ на: комментарий от red_eyed_peguin

От UDP/ICMP/TCP и любого другого DOS направленного на забивание канала, вообще ничего не спасает кроме смены IP и провайдера.

Nastishka ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.