IPtables, защита от DoS атаки

Вот пример. Цифирки можете подставить свои.

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

Против ддоса лучше не REJECT, а DROP.

Спасибо, буду разбирать.

И я забыл уточнить, мне нужно сделать для каждого подключенного ip адреса свой ограничитель.

На сервере находится игра (что то вроде Counter Strike).

Что такое подключенный IP ?

Вы имеете ввиду, что ваш сервер имеет несколько IP ? И для каждого свой лимит?

Для защиты игры есть такой интересный способ. Может пригодится.

iptables  -A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables  -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 37800:37900 -m recent --set --name lserv --rsource -j DROP

iptables  -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 2106 -m recent --rcheck --seconds 15 --name lserv --rsource -j LSCHAIN

iptables  -A INPUT -p tcp -m tcp --dport 2106 -m conntrack --ctstate NEW -j DROP

iptables  -A LSCHAIN -m recent --remove --name lserv --rsource -j ACCEPT

Смысл в том, что клиент может подключится только в том случае, если он перед этим сделает попытку подключения на определеннй секретный диапазон портов.

Секретный диапазон портов можно менять хитрыми алгоритмами.

Я вам идею дал, если ее развить, то можно постороить для игры защиту.

Я неправильно выразился.

Лимит для каждого клиента(игрока). В общем это не важно, я фигню сказал.

Атака происходит следующим образом. Нехороший пользователь заходит в игру и при помощи нехороших программ начинает создавать флуд. К примеру просто отправляя огромное количество сообщений в чат.

amx вроде имеет средства автобана, не?

И вы его хоть где-то использовали? Для обычных клиентских программ, без модификации последних.

Просто любопытно.

У меня написан чат с такой зашитой.

Секретный диапазон портов постоянно меняется по определенному алгоритму.

Конечно же код клиентской программы должен быть модифицирован, что бы он мог подключится к серверу.

Ну вы почти сами уже поняли какая это тупость в рассматриваемой ситуации. Не забывайте, кстати, что куча игрушек вовсю использует UDP.

myhand, вы думать не пробовали?

:)

Разработчик игры сам может выбрать протокол, который использовать.

Можете объяснить как работают:

--hashlimit-above 1/second

--hashlimit-burst 20