Zero DDoS Guard (NFTables) 1.1-BETA

[Art_Farm]

Art_Farm добавил(а) новый ресурс:

You must be logged in to see this link. - Хорошая конфигурация NFTables для защиты от атак.

Это конфиг для nftables является попыткой полностью реализовать базовый функционал ufw, но с дополнительными плюшками. Он заточен на защиту от типичных атак (DDoS, сканеров портов, мусорного трафика).

ВНИМАНИЕ:
Не используйте его вместе с ufw! Перед установкой моего конфига либо удалите ufw, либо выключите его командой – sudo systemctl disable --now ufw
Также nftables никак не может заменить реальную защиту от провайдера.

 Преимущества:
1. Автобаны при подозрительной...

You must be logged in to see this link.

 

[Art_Farm]

Вот наглядный пример на практике как защищает мой конфиг от сканнеров портов:

Результат без защиты:

Вам необходимо зарегистрироваться для просмотра изображений-вложений

Результат с защитой:

Вам необходимо зарегистрироваться для просмотра изображений-вложений

 

[Entity KOSMOS]

Не ты реально <скрыто модератором>, ты взял iptables и ufw и вставил скрипт? Ты на приколе? Это всё запрещается в 1 команду (и зачем вообще?). Так ещё и от какого ддоса ты защищаться собрался? У тебя какой нибудь 1488 будет открыт хотя бы для ssh и по нему будут долбить.

 

[Art_Farm]

Не ты реально овощ, ты взял iptables и ufw и вставил скрипт?

Не понял тебя. Это не скрипт, а конфигурация nftables, а iptables здесь вообще не при чём. И почитайте получше описание, там написано что он даёт защиту только от малых и + - средних атак. Конечно он не защищает от сложных и продуманых атак.

 

[Entity KOSMOS]

Не понял тебя. Это не скрипт, а конфигурация nftables, а iptables здесь вообще не при чём. И почитайте получше описание, там написано что он даёт защиту только от малых и + - средних атак. Конечно он не защищает от сложных и продуманых атак.

Она от любых атак не защитит, зачем вообще закрывать порты через файл? Что за бред

 

[Art_Farm]

У тебя какой нибудь 1488 будет открыт хотя бы для ssh и по нему будут долбить.

Если под 1488 ты имеешь порт ssh, то мой скрипт и нацелен на то что если кто то будет прям долбить по каким то из твоих понтов, то сразу улетит в бан лист. Ещё там есть ограничение в 7 активных сессий с 1 IP, больше 7 нельзя.

Объединено Сегодня в 16:47

Она от любых атак не защитит, зачем вообще закрывать порты через файл? Что за бред

Через какой файл? Этот файл это просто КОНФИГУРАЦИЯ, сами порты закрывает nftables (такая программа).

 

[Entity KOSMOS]

Если под 1488 ты имеешь порт ssh, то мой скрипт и нацелен на то что если кто то будет прям долбить по каким то из твоих понтов, то сразу улетит в бан лист. Ещё там есть ограничение в 7 активных сессий с 1 IP, больше 7 нельзя.

Объединено Сегодня в 16:47

Через какой файл? Этот файл это просто КОНФИГУРАЦИЯ, сами порты закрывает nftables (такая программа).

Ну и зачем? Для этого есть команды. Если тип не осилил базовые команды, это клиника

Объединено Сегодня в 16:49

А для долбёжки по портам есть fail2ban

 

[Art_Farm]

Ну и зачем? Для этого есть команды. Если тип не осилил базовые команды, это клиника

Ты про команды ufw?
ufw сам по себе просто открывает / закрывает порты и больше ничего особо делать не способен (ну ещё с помощью limit может ограничивать количество активных сессий). А мой конфиг делает так чтобы nftables еще и фильтровал всякие флуды, и ещё защита от сканнеров портов есть.

Вот наглядный пример на практике как защищает мой конфиг от сканнеров портов:

Результат без защиты:

Вам необходимо зарегистрироваться для просмотра изображений-вложений

Результат с защитой:

Вам необходимо зарегистрироваться для просмотра изображений-вложений

 

[Entity KOSMOS]

Зачем закрывать порты? Что бы что? У тебя уже как минимум 1 порт будет открыт для ssh

 

[Art_Farm]

Зачем закрывать порты? Что бы что? У тебя уже как минимум 1 порт будет открыт для ssh

Ты не знаешь зачем закрывать порты и разрешать только определённые?
nftables сам по себе работает очень близко к ядру и прекрасно себя чувствует при экс

 

[Entity KOSMOS]

Ты не знаешь зачем закрывать порты и разрешать только определённые?
nftables сам по себе работает очень близко к ядру и прекрасно себя чувствует при экс

Ты мне скажи для чего ты закрываешь допустим 443 порт? Что от этого будет, и опять же есть fail2ban

 

[Art_Farm]

Ты мне скажи для чего ты закрываешь допустим 443 порт? Что от этого будет, и опять же есть fail2ban

Fail2Ban работает по логам, а nftables прямо чуть ли не в ядре. Из за этого nftables с хорошей конфигурацией будет чувствовать себя лучше при мощном флуде, чем fail2ban.

Объединено Сегодня в 16:59

Fail2Ban работает по логам

Под этим я имею ввиду что он читает логи и по ним арентируется в основном.

 

[Entity KOSMOS]

Fail2Ban работает по логам, а nftables прямо чуть ли не в ядре. Из за этого nftables с хорошей конфигурацией будет чувствовать себя лучше при мощном флуде, чем fail2ban.

Объединено Сегодня в 16:59

Под этим я имею ввиду что он читает логи и по ним арентируется в основном.

Ты своей крутой конфигурацией можешь забанить что-нибудь случайно если будет флуд, например игроков. Спам подключениями ≠ ддос

 

[Art_Farm]

Ты своей крутой конфигурацией можешь забанить что-нибудь случайно если будет флуд, например игроков. Спам подключениями ≠ ддос

Любая защита заблочит игрока если он будет спамить подключениями (прям со скоростью несколько подключений в секунду)

 

[Entity KOSMOS]

Любая защита заблочит игрока если он будет спамить подключениями (прям со скоростью несколько подключений в секунду)

Не будет, а если твоя крутейшая конфигурация так делает, то эту защиту легко обойти, подстроиться под твой лимит и всё.

Объединено Сегодня в 17:10

И мне интересно что будет, если поставить туда тяжёлый сайт, от клиента могут быть очень много подключений

 

[Art_Farm]

Не будет, а если твоя крутейшая конфигурация так делает, то эту защиту легко обойти, подстроиться под твой лимит и всё.

Объединено Сегодня в 17:10

И мне интересно что будет, если поставить туда тяжёлый сайт, от клиента могут быть очень много подключений

Больше 120/сек, или 60 на протяжении нескольких секунд? Не думаю.

 

[Entity KOSMOS]

Больше 120/сек, или 60 на протяжении нескольких секунд? Не думаю.

От сайта такое вполне может быть, и у меня так было. Так что ты насрал и потенциально можешь кому нибудь что нибудь сломать

 

[Art_Farm]

Больше 120/сек, или 60 на протяжении нескольких секунд? Не думаю.

И конфиг пока что в бете, потом буду делать лимиты более умными чтобы их было сложнее обойти (да даже если под них подстроиться, то это сильно убивает саму эффективность атаки).

Объединено Сегодня в 17:24

От сайта такое вполне может быть, и у меня так было. Так что ты насрал и потенциально можешь кому нибудь что нибудь сломать

Почему столько агрессии как будто от вас.
И опять же, сложно нормально подстроить лимиты чтобы они были эффективны для всех и ничего не ломали.

Вам необходимо зарегистрироваться для просмотра изображений-вложений

 

[Entity KOSMOS]

Эта конфигурация в целом помоище, и может что нибудь сломать не знающим. А обычно такие и качают всякие конфигурации и скрипты.

 

[BetaFog]

Ты не знаешь зачем закрывать порты и разрешать только определённые?

Так, подождите. Как защита от ддоса связана с закрытием портов? И ещё подождите. Ты сделал конфиг, который закрывает порты, при этом сломав такой прекрасный ufw, который тоже в принципе нормально до этого закрывал порты? И смысл от слабой антиддос, если можно купить нормальную? Я чето нихрена не понял, для чего эта фигня этот конфиг.