Доступность IP извне, закрытие всех портов

0

2

Собственно, есть IP-адреса, которые пропускают запросы извне при закрытых портах, а есть (у меня выделенный провайдером внешний айпишник, порты которого я закрыл; в роутере нет пробросов, IPTables - все закрыто), которые пропускают запросы при обращении к нему через спец-сервис на проверку доступности к IP: что через порты, что через DNS, что через TCP.

Нужно как-то закрыть доступность, ибо дудосеры со стресс-сервисов любят забивать канал говно-траффиком, либо NTP или UDP-аплификацию осуществлять, иногда и по DNS атакуют.

Естественно, канал загибается, все падает от 7-10 GB/s с атаки несколько сотен (а то и тысяч) айпишников.

Проверял айпишник у другого провайдера (у знакомого), но там человек не имеет своего внешника, только общий на весь район. Запросы не пропускает.

Как быть? При отказе от выделенного мне внешника у провайдера, удастся избежать атак и запросов извне?

Ссылка

←	Запусти вирус за доллар

За сколько можно продать такой комп?

→

IPTables - все закрыто
пропускают запросы при обращении к нему через спец-сервис

Какой-то неправильный iptables и неправильный роутер. Может какое uPnP включено?

Suigintou ★★★★★
(22.06.14 13:29:16 MSK)

Ссылка

для NTP добавь в конфиг строчки

disable monitor
restrict -4 default ignore

в фаерволе закрой с наружи все icmp запросы, чтоб тебя даже на доступность не могли проверить.

Меня в свое время тож подзадолбали эти хацкеры, данные меры помогли. Ну и естественно смени стандартный порт ssh.

CHIPOK ★★★
(22.06.14 13:29:31 MSK)

Ответ на: комментарий от CHIPOK 22.06.14 13:29:31 MSK

Ну и естественно смени стандартный порт ssh.

Кривая мера. Закрывайте ssh во внешку, если не хотите брутфорса. А еще внезапно есть fail2ban.

Alsvartr ★★★★★
(22.06.14 14:21:29 MSK)

Ответ на: комментарий от Alsvartr 22.06.14 14:21:29 MSK

это не кривая а стандартная мера. Все же я предпочитаю denyhosts вместо fail2ban, но это не важно, главное чтоб было.

CHIPOK ★★★
(22.06.14 14:31:32 MSK)

проверить свой НТП на уязвимость можно командой ntpdc -c monlist адрес_сервера

CHIPOK ★★★
(22.06.14 14:41:03 MSK)

Ссылка

Ответ на: комментарий от CHIPOK 22.06.14 14:31:32 MSK

это не кривая а стандартная мера

Да нет. Есть нормальные способы. Усложнять организацию - это костыль и ламеризм.

Alsvartr ★★★★★
(22.06.14 14:41:12 MSK)

Ответ на: комментарий от Alsvartr 22.06.14 14:41:12 MSK

ну как кому, всетаки до смены стандартного порта на внешке было в день атак 100, и это с denyhosts, сейчас ни одной атаки.

CHIPOK ★★★
(22.06.14 14:43:20 MSK)

Ссылка

Если тебе заливают канал, то это уровнем выше, чем твой iptables. То есть твой iptables в конце трубы, а залили ее начало. Это проблема провайдера. Если ты домашник-частник, провайдер обязан сменить тебе IP, старый задевнулить (и по bgp flowspec задевнулить говнотрафик у своих провайдеров, если его провайдеры это поддерживают (ау, cisco!)). Если это твой сайт, то http://qrator.net. И не говори, что дорого.

Shaman007 ★★★★★
(22.06.14 14:48:19 MSK)