DDos блокировка

[VirtuoozX]

Не вижу функции чтобы блокировались пакеты

Чтобы прошло N пакетов и автоматически добавлялся в чёрный список чтобы трафик не пропускался вообще 

[AndreBA]

16 минут назад, VirtuoozX сказал:

Не вижу функции чтобы блокировались пакеты

Чтобы прошло N пакетов и автоматически добавлялся в чёрный список чтобы трафик не пропускался вообще 

Вы про "lockout-policy"? Если да, то в CLI.

Edited May 27, 2018 by AndreBA

[VirtuoozX]

58 минут назад, AndreBA сказал:

Вы про "lockout-policy"? Если да, то в CLI.

Ничего подобного не нашёл в интернете. Как пользоваться какие команды?

[AndreBA]

Только что, VirtuoozX сказал:

Как пользоваться какие команды?

ip http lockout-policy 5 60 1
system configuration save

ip telnet lockout-policy 5 60 1
system configuration save

ip ftp lockout-policy 5 60 1
system configuration save

ip ssh lockout-policy 5 60 1
system configuration save

[AndreBA]

1 минуту назад, VirtuoozX сказал:

Ничего подобного не нашёл в интернете.

Здесь скачайте мануал под свой роутер.

[VirtuoozX]

1 минуту назад, AndreBA сказал:

ip http lockout-policy 5 60 1
system configuration save

ip telnet lockout-policy 5 60 1
system configuration save

ip ftp lockout-policy 5 60 1
system configuration save

ip ssh lockout-policy 5 60 1
system configuration save

вместо ip это мне надо ip вводить же?
вместо http я так понял порт
Или просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

[AndreBA]

Только что, VirtuoozX сказал:

вместо ip это мне надо ip вводить же?
вместо http я так понял порт
Или просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

Как есть так и вводить.

[VirtuoozX]

5 минут назад, AndreBA сказал:

Как есть так и вводить.

А как ввести порт.
Хочу допустим поставить на 27015 порт
 

[AndreBA]

Только что, VirtuoozX сказал:

А как ввести порт.
Хочу допустим поставить на 27015 порт
 

На порт наверно в правилах надо настраивать.

[VirtuoozX]

4 минуты назад, AndreBA сказал:

На порт наверно в правилах надо настраивать.

Как это сделать

[AndreBA]

3 минуты назад, VirtuoozX сказал:

Как это сделать

Посмотреть в "Межсетевой экран". Возможно там получится.

[VirtuoozX]

Так эти команды защита от взлома. А как бороться с Flood которые ддосят сам маршрутизатор и какой нить ресурс либо сервер или сайт. Как сделать чтобы автоматически отправлялся в Банлист

[VirtuoozX]

2 минуты назад, AndreBA сказал:

Посмотреть в "Межсетевой экран". Возможно там получится.

Особенно если было. ДДосили ботнетами по 100+ адресов
То сам в ручную замучиешься их вводить 

[AndreBA]

11 минуту назад, VirtuoozX сказал:

А как бороться с Flood которые ддосят сам маршрутизатор и какой нить ресурс либо сервер или сайт. Как сделать чтобы автоматически отправлялся в Банлист

Сам роутер ддосит?  Тогда извиняюсь, не помогу 

[Rootdiv]

32 минуты назад, VirtuoozX сказал:

просто ввести как ip http lockout-policy 5 60 1 и по достижению он заблокируется автоматически

Да. https://help.keenetic.com/hc/ru/articles/115000400185-Функция-защиты-от-перебора-паролей-для-доступа-к-интернет-центру

[VirtuoozX]

Неет вы меня не поняли.
За Маршрутизатором стоит Компьютер на котором стоит стоит сервер cs 1.6 примеру на порту 27015

Есть в интернете флудер ( Название не скажу тут если только будет интересно в лс ) Так вот работает так. Отправляет на сервер пакеты и сервер просто пропадает из списка ( Порт просто не отвечает ) А все кто сидит на сервере то всё хорошо работает ICMP зафлудили и сервер не отображает из вне.
Так вот как можно сделать чтобы автоматически банило Те адреса флудеров без моей помощи когда меня нету дома.

Edited May 27, 2018 by VirtuoozX

[vadimbn]

5 часов назад, VirtuoozX сказал:

Так вот как можно сделать чтобы автоматически банило Те адреса флудеров без моей помощи когда меня нету дома.

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

[VirtuoozX]

39 минут назад, vadimbn сказал:

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

Смотря какая атака. Если ддосили 22 порт и 80 то простая блокировка спасала.
Если UDP Которая атака достигала в 3 гб то нет.

[VirtuoozX]

В 28.05.2018 в 11:49, vadimbn сказал:

Посредством самого маршрутизатора, его ПО, это не реализуемо. Я просил в МСЭ добавить списки IP-адресов. Имея такие списки можно было бы реализовать правила блокировки множественных адресов и подсетей, но разработчикам, очевидно, это не нужно. Устанавливайте Entware, там есть функционал IPset. Ну и помните, что от грамотно организованной именно DDOS (то есть распределенной атаки) роутер не спасет.

Дифицит с накопителями этими.

Как его установить как пользоваться.

Или требовать функцию

[vadimbn]

1 час назад, VirtuoozX сказал:

Или требовать функцию

Голосуйте в той теме, может быть прислушаются.

[VirtuoozX]

Вообще не обходимая функция. Особенно столько возможностей сделать прошивку более продвинутой. А такого нету. Я вообще маршрутизатор покупал чтобы ддосы отбивать а не просто раздать wifi 

Edited May 29, 2018 by VirtuoozX

[vasek00]

2 часа назад, VirtuoozX сказал:

Вообще не обходимая функция. Особенно столько возможностей сделать прошивку более продвинутой. А такого нету. Я вообще маршрутизатор покупал чтобы ддосы отбивать а не просто раздать wifi 

В прошивки уже присутствует тот уровень защиты который необходим пользователю, если что-то нужно за данным уровнем, то берем flash размером не менее ну скажем 1GB устанавливаем Entware + необходимые доп.сервисы по защите. Тут уже на сколько фантазии хватит, можно и без IPset.

В интернете много есть примеров один их таких например ловушка TARPIT, тут аккуратней так как ресурсы ограничены это же роутер, как уменьшить в интернете так же есть.

Цитата

TARPIT — «подвесить» TCP-соединение. Используется лишь в самых крайних случаях, например, при борьбе с DoS-атаками. Отвечает на входящее соединение, после чего уменьшает размер фрейма до нуля, блокируя возможность передачи данных. Соединение будет «висеть» таком состоянии, пока не истечет таймаут на атакующей стороне (обычно 20—30 минут). При этом на такое соединение расходуются системные ресурсы атакующей стороны (процессорное время и оперативная память), что может быть весьма ощутимо при значительном количестве соединений. В случае правильного использования действия TARPIT ресурсы атакуемой стороны практически не расходуются. Под правильным применением понимается предотвращение обработки таких соединений подсистемой conntrack, так как в противном случае будут расходоваться системные ресурсы самого атакуемого хоста. Например, перед добавлением правила блокирования порта

Так же простенькие правила например, которые проходят

Цитата

/ # iptables -I INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/ # iptables -I INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP
/ # iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)

   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x04 limit: avg 1/sec burst 5
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x04

 

/ # iptables -I FORWARD -p tcp --dport 89 -m time --timestart 06:00 --timestop 17:00 --weekdays Mon -j REJECT

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:89 TIME from 06:00:00 to 17:00:00 on Mon UTC reject-with icmp-port-unreachable

 

/ # iptables -I FORWARD -s 10.0.0.0/8 -p tcp -m string --algo bm --string "baddom.ru" -j DROP

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       10.0.0.0/8           0.0.0.0/0            STRING match  "baddom.ru" ALGO name bm TO 65535

ну тут нужно учесть спец.прошивки по обработке правил.

Edited May 29, 2018 by vasek00

[VirtuoozX]

При попытке установить Entware происходит такое.

А флешка наколилась как горячая сковородка. И чуть ли не жгёт пальцы 

Скрытый текст

 

kernel: sd 2:0:0:0: [sda] Attached SCSI removable disk

Май 30 01:44:29

 

ndm

FileSystem::Ext: "/dev/sda" has an unknown partition type, ignored.

Май 30 01:44:29

 

ndm

FileSystem::Ext: vfat "422D-4409:": filesystem initialized.

Май 30 01:44:29

 

ndm

kernel: tfat: fail_safe is enabled

Май 30 01:44:29

 

ndm

kernel: tfat: cluster_heap_lbo 0x400000

Май 30 01:44:29

 

ndm

kernel: tfat: 12 blkbits for normal inodes

Май 30 01:44:29

 

ndm

kernel: tfat: fat start lbo 0x58400

Май 30 01:44:29

 

ndm

kernel: tfat: 9 blkbits for main FAT32 inode

Май 30 01:44:29

 

ndm

kernel: tfat: cluster size 4096

Май 30 01:44:30

 

ndm

kernel: tfat info: FAT32 volume name 'ENTWARE', version 0.0.

Май 30 01:44:30

 

ndm

FileSystem::Repository: "422D-4409:" registered.

Май 30 01:44:30

 

ndm

Opkg::Manager: /tmp/mnt/ENTWARE mounted to /tmp/mnt/ENTWARE.

Май 30 01:44:30

 

ndm

Opkg::Manager: /tmp/mnt/ENTWARE mounted to /opt/.

Май 30 01:44:30

 

npkg

inflating "mipsel-installer.tar.gz".

Май 30 01:44:30

 

npkg

failed to inflate "mipsel-installer.tar.gz": bin/renice: operation not permitted.

Май 30 01:44:30

 

ndm

Opkg::Manager: system failed [0xcffd01a5], exit code 147.

Май 30 01:44:30

 

ndm

Opkg::Manager: invalid initrc "/opt/etc/initrc": no such file or directory, trying /opt/etc/init.d/.

Май 29 18:44:31

 

installer

Critical error: Используйте накопитель с файловой системой ext2/ext3/ext4. Отменяем...

Май 30 01:44:31

 

ndm

Opkg::Manager: /opt/etc/init.d/doinstall: exit code 1.

 

 

Edited May 29, 2018 by VirtuoozX

[VirtuoozX]

Я вообще в этом не силён. И в Linux и Iptables.

Легче функционал расширить маршрутизатора.....

[Mamay]

Не надо пользовать fat32... 

[VirtuoozX]

13 часа назад, Mamay сказал:

Не надо пользовать fat32... 

На NTFS завелось. 

[vasek00]

4 часа назад, VirtuoozX сказал:

На NTFS завелось. 

NTFS не есть хорошо.

[Mamay]

7 часов назад, VirtuoozX сказал:

На NTFS завелось. 

Все последующие проблемы "кривой" работы или неработоспособности демонов entware, может адресовать самому себе, из-за вашего нежелания использования ext2/3/4...

[VirtuoozX]

10 часов назад, Mamay сказал:

Все последующие проблемы "кривой" работы или неработоспособности демонов entware, может адресовать самому себе, из-за вашего нежелания использования ext2/3/4...

А я не знаю как форматировать в эти форматы.

В офф топике была программа EaseUS Partition Master Home Edition 

https://help.keenetic.com/hc/ru/articles/214471145-Использование-файловой-системы-EXT3-на-USB-накопителях

Но она требует регистрацию продукта

[VirtuoozX]

Установил OPKG

Установил Entware

Потом установил iptables  (  opkg install iptables )

Теперь такое

~ # iptables -A INPUT -p icmp --icmp-type echo-request -m 30 --40 1/s -j ACCEPT
iptables v1.4.21: Couldn't load match `30':No such file or directory
 

[VirtuoozX]

Всё форматировал в  ext3

Поставил Entware

Дальше какие действия

Edited May 31, 2018 by VirtuoozX