Хороший конфиг NFTables

Хороший конфиг NFTables 1.1-BETA

Создайте и подтвердите аккаунт для скачивания
Обзор Обновления (1) История Обсуждение
BetaFog написал(а):
Так, подождите. Как защита от ддоса связана с закрытием портов? И ещё подождите. Ты сделал конфиг, который закрывает порты, при этом сломав такой прекрасный ufw, который тоже в принципе нормально до этого закрывал порты? И смысл от слабой антиддос, если можно купить нормальную? Я чето нихрена не понял, для чего эта фигня этот конфиг.
Нажмите для раскрытия…

Думаю, вы ничего не понимаете в nftables.
Этот конфиг это разумная подстраховка которую надо ставить вместе с защитой от провайдера. Он реализует весь необходимый функционал ufw, имеет много плюшек, а также nftables по надёжности и производительности в принципе лучше ufw.
 
Мне кажется, этот конфиг было бы лучше выложить в виде руководства по настройке с разбором параметров, но никак не таким уже готовым конфигом.
А ещё нормально указать что настройка файрвола НЕ является полноценной защитой от DDOS, мусорного трафика, порчи, сглаза и так далее и ДАЖЕ НЕ ПРЕТЕНДУЕТ на таковой статус - это БАЗОВЫЙ МИНИМУМ

А ещё если вы всё-таки планируете сделать текст полезным, то стоит добавить и описание всяких команд для действий (например, как сделать бэкап файла). А ещё для читабельности можете использовать BB-тэг [ICODE] для однострочных команд, кода и так далее
 
ЕДИНСТВЕННЫЙ АДЕКВАТНЫЙ способ защитить свою VDS от атак - это на низком уровне отрубить доступ к входу в инет (Никаких открытых портов вовсе) и поставить туннель на супер защищённые узлы по типу CloudFlare, Google Cloud или Aws. И следить, чтобы в инет ничего не выходило за пределы системы, иначе толку будет мало.

Такие системы называются Zero Trust. И самый лучший, безопасный и быстрый (Работает из рф через впн) это Cloudflared Zero Trust, лучше него буквально нет на рынке.

Самим такие системы можно поднять, используя Wireguard или Tailscale. Но вам нужны защищённые туннели по всем стандартам безопасности, а у cloudlfare это сразу поставляется без необходимости самим настраивать. Выбор за вами.
 
Mioji написал(а):
ЕДИНСТВЕННЫЙ АДЕКВАТНЫЙ способ защитить свою VDS от атак - это на низком уровне отрубить доступ к входу в инет (Никаких открытых портов вовсе) и поставить туннель на супер защищённые узлы по типу CloudFlare, Google Cloud или Aws. И следить, чтобы в инет ничего не выходило за пределы системы, иначе толку будет мало.

Такие системы называются Zero Trust. И самый лучший, безопасный и быстрый (Работает из рф через впн) это Cloudflared Zero Trust, лучше него буквально нет на рынке.

Самим такие системы можно поднять, используя Wireguard или Tailscale. Но вам нужны защищённые туннели по всем стандартам безопасности, а у cloudlfare это сразу поставляется без необходимости самим настраивать. Выбор за вами.
Нажмите для раскрытия…

Это в некоторых аспектах геморройно и дорого (особенно в контексте игровых Minecraft серверов) и больше подходит для уже крупных проектов.

MrDrag0nXYT написал(а):
Мне кажется, этот конфиг было бы лучше выложить в виде руководства по настройке с разбором параметров, но никак не таким уже готовым конфигом.
А ещё нормально указать что настройка файрвола НЕ является полноценной защитой от DDOS, мусорного трафика, порчи, сглаза и так далее и ДАЖЕ НЕ ПРЕТЕНДУЕТ на таковой статус - это БАЗОВЫЙ МИНИМУМ

А ещё если вы всё-таки планируете сделать текст полезным, то стоит добавить и описание всяких команд для действий (например, как сделать бэкап файла). А ещё для читабельности можете использовать BB-тэг [ICODE] для однострочных команд, кода и так далее
Нажмите для раскрытия…

nftables сам по себе очень мощный инструмент, и защищать от всяких умеренных DoS (да и умеренный DDoS некоторых типов он тоже может смягчать) и флуда, он может фильтровать всё ещё на preraw, тоесть до того как ядро начнёт об этом флуде думать, этого не умеет ни ufw ни fail2ban. Ну конечно против мощного DDoS он уже становится без силен.
Важно понимать L3-L4 защита от провайдеров В ОСНОВНОМ не фильтрует логические атаки. А в основном на всех средних и малых проектах стоит именно L4 защита – в этом плане хоть nftables никак не может заменить L7, но всё же хоть как то может фильтровать логические атаки.
Потом может сделаю руководство по моему конфигу и разбору параметров (да и в общем об nftables).
 
Последнее редактирование:
Советую почитать про nftables перед тем как писать критику.

  • Авторизуйтесь для просмотра ссылок.
  • Авторизуйтесь для просмотра ссылок.
 
Art_Farm написал(а):
этого не умеет ни ufw ни fail2ban
Нажмите для раскрытия…
ufw - это обёртка для iptables, а в новых версиях и nftables
fail2ban - это инструмент который при некотором количестве неверных запросов подряд блокирует пользователя для защиты в первую очередь от подбора паролей
Это абсолютно разные инструменты, НЕ заменяющие друг друга

Art_Farm написал(а):
Важно понимать L3-L4 защита от провайдеров В ОСНОВНОМ не фильтрует логические атаки. А в основном на всех средних и малых проектах стоит именно L4 защита – в этом плане хоть nftables никак не может заменить L7, но всё же хоть как то может фильтровать логические атаки.
Нажмите для раскрытия…
Он может отфильтровать атаки на этапе сканирования портов, но никак не сами атаки. В первую очередь, файрвол это НЕ средство защиты от DDOS
 
MrDrag0nXYT написал(а):
ufw - это обёртка для iptables, а в новых версиях и nftables
fail2ban - это инструмент который при некотором количестве неверных запросов подряд блокирует пользователя для защиты в первую очередь от подбора паролей
Это абсолютно разные инструменты, НЕ заменяющие друг друга
Нажмите для раскрытия…

Но это не мешает им конфликтовать. Я один раз потерял доступ к своей VDS потому что ufw и nftables начили конфликт.
Ufw обычно используют чтобы открывать / закрывать IP, добавлять IP в белые списки, блокировать IP, разрешать порты только для определенных IP и др, но он не может работать в preraw с приоритетом -300, а чтобы он работал надо лезть в его настройки и там писать код по типу моего конфига nftables, и ты уже будешь по факту использовать не ufw, а nftables просто через конфиг ufw. И если правильно настроить nftables он легко заменит ufw, хоть и с небольшой потерией удобства но приростом надежности.

MrDrag0nXYT написал(а):
Он может отфильтровать атаки на этапе сканирования портов, но никак не сами атаки. В первую очередь, файрвол это НЕ средство защиты от DDOS
Нажмите для раскрытия…

Атаки есть разных типов.
Хоть он и фаервол, но в нём есть очень много функций для фильтрации трафика, а соответственно – смягчению атак. Защита от того же SYN rst tcp udp флуда, bogon сетей, icmp флуда, сломаных пакетов, ограничение по количеству активных сессий, ограничение по размеру пакетов и возможность вносить IP в бансписки на определенное время и дропать все их запросы. И это только малая часть его функционала которую можно ещё по логике гибко выстраивать, в разных цепочках и т.д.
Конечно он не может защищать от забития сетевого канала (к примеру от волумических атак) но с этим справляется провайдер с защитой L3-L4, я писал что мой конфиг надо ставить в связке с защитой L3-L4 провайдера.

Моя цель — не заменить провайдера, а сделать так, чтобы машина не умирала от атаки, которая просочилась через фильтры L3-L4 провайдера или была направлена на логику протокола.
 
Art_Farm написал(а):
Это в некоторых аспектах геморройно и дорого (особенно в контексте игровых Minecraft серверов) и больше подходит для уже крупных проектов.
Нажмите для раскрытия…
Нет, не дорого и не геморройно. Покупаешь самый дешевый сервер и разворачиваешь headscale/netbird, прописал одну команду и твои сервера в одной локальной сети
 
Art_Farm написал(а):
Это в некоторых аспектах геморройно и дорого (особенно в контексте игровых Minecraft серверов) и больше подходит для уже крупных проектов.
Нажмите для раскрытия…
Cloudflare бесплатный и доступный. Настраивается не особо и сложно, не надо настраивать свой узел. Да и свой узел тоже не особо сложно настроить, тут уже зависит от поставщика, чтобы сам туннель у тебя не положили или взломали, т.к можешь потерять доступ к серверу. А с Cloudflare по очевидным причинам такое не происходит :)
Объединено

Art_Farm написал(а):
Моя цель — не заменить провайдера, а сделать так, чтобы машина не умирала от атаки, которая просочилась через фильтры L3-L4 провайдера или была направлена на логику протокола.
Нажмите для раскрытия…
Если машину отключить от инета напрямую, никто ничего не сможет сделать ей ахахаха
 
Последнее редактирование:
Mioji написал(а):
Cloudflare бесплатный и доступный. Настраивается не особо и сложно, не надо настраивать свой узел. Да и свой узел тоже не особо сложно настроить, тут уже зависит от поставщика, чтобы сам туннель у тебя не положили или взломали, т.к можешь потерять доступ к серверу. А с Cloudflare по очевидным причинам такое не происходит :)
Нажмите для раскрытия…

Я упоминал контекст Minecraft – для этого нужен CloudFlare Spectrum у которого конские цены (1$ за 1 гб трафика, 1 тб трафика – 1000$)
Mioji написал(а):
Если машину отключить от инета напрямую, никто ничего не сможет сделать ей ахахаха
Нажмите для раскрытия…

offtop Лучше сразу из розетки выдернуть


dronsyy написал(а):
Нет, не дорого и не геморройно. Покупаешь самый дешевый сервер и разворачиваешь headscale/netbird, прописал одну команду и твои сервера в одной локальной сети
Нажмите для раскрытия…

Так headscale netbird это вообще что то из vpn для частных сетей, и чтобы подключаться к ним нужен специальный софт. Это слишком костыльно, тем более весь ддос будет идти на твой «Самый дешёвый сервер».
Но могу ошибаться.
 
Art_Farm написал(а):
Так headscale netbird это вообще что то из vpn для частных сетей, и чтобы подключаться к ним нужен специальный софт. Это слишком костыльно
Нажмите для раскрытия…
Это не костыльно. Большинство корпораций таким образом и обеспечивает защищенный доступ к инфраструктуре

Art_Farm написал(а):
тем более весь ддос будет идти на твой «Самый дешёвый сервер»
Нажмите для раскрытия…
Айпи этого сервера знают только люди, имеющие к нему доступ
 
dronsyy написал(а):
Это не костыльно. Большинство корпораций таким образом и обеспечивает защищенный доступ к инфраструктуре


Айпи этого сервера знают только люди, имеющие к нему доступ
Нажмите для раскрытия…

Ну так это для частных сетей к которым имеют доступ только определённые пользователи. Кажется что понятно, в этой теме идёт речь именно о публичных серверах.
 
Art_Farm написал(а):
Я упоминал контекст Minecraft – для этого нужен CloudFlare Spectrum у которого конские цены (1$ за 1 гб трафика, 1 тб трафика – 1000$)
Нажмите для раскрытия…
Ты че ваще умеешь читать не умеешь? Тебе нужен Cloudflare Zero Trust и Warp, КОТОРЫЙ БЕСПЛАТНЫЙ. А для защиты Minecraft серверов используешь TCPShield/Neopotect, давай доступ только их ипшникам. Если ты ваще параноик, то можно сделать туннел узел между TCPShield/Neopotect и между тачкой, чтобы ваще ничего не выходило в инет. Для этого можно использовать Gate Minekube в режиме Lite с режимом Прокси за прокси, ему хватит минимум ресурсов чтобы выдерживать десятки и сотни тысяч игроков.

dronsyy написал(а):
Айпи этого сервера знают только люди, имеющие к нему доступ
Нажмите для раскрытия…
Можно сделать чтобы даже твой персонал не знал ип при подключении. Домен + CIDR. Защищает от банальных сливов человеческого фактора, где на демке спалили адреса 🤣
 
Art_Farm написал(а):
Но это не мешает им конфликтовать. Я один раз потерял доступ к своей VDS потому что ufw и nftables начили конфликт.
Ufw обычно используют чтобы открывать / закрывать IP, добавлять IP в белые списки, блокировать IP, разрешать порты только для определенных IP и др, но он не может работать в preraw с приоритетом -300, а чтобы он работал надо лезть в его настройки и там писать код по типу моего конфига nftables
Нажмите для раскрытия…
Логично же что обёртка над программой которая генерирует конфигурацию для неё и ваша конфигурация будут конфликтовать
 
MrDrag0nXYT написал(а):
Логично же что обёртка над программой которая генерирует конфигурацию для неё и ваша конфигурация будут конфликтовать
Нажмите для раскрытия…
Это ещё наверное он не слышал по подброс портов в docker, которые минуют фаервол, и если это не учесть, то все настройки безопасности идут коту под хвост. По этому никогда в docker не указывайте ваш ип или 0.0.0.0:port:port без необходимости, только 127.0.0.1:port:port. Хотя это можно запретить через настройки демона или ещё каким-то мазохизмом, но лучше этого не делать.
 
Mioji написал(а):
Ты че ваще умеешь читать не умеешь? Тебе нужен Cloudflare Zero Trust и Warp, КОТОРЫЙ БЕСПЛАТНЫЙ.
Нажмите для раскрытия…

Так они просто не подходят для Minecraft. И ты в своей задумке не упомянал, что ещё надо на майн отдельно TcpShield поставить, а ты написал просто закрыть все порты и подключить CloudFlare Zero Trust и Warp.
Для CloudFlare Zero Trust и Warp нужен отдельный софт на всех клиентов что ПЛОХО ДЛЯ ЧЕГО ТО публичного

MrDrag0nXYT написал(а):
Логично же что обёртка над программой которая генерирует конфигурацию для неё и ваша конфигурация будут конфликтовать
Нажмите для раскрытия…

Я и не спорю.

Mioji написал(а):
Это ещё наверное он не слышал по подброс портов в docker, которые минуют фаервол, и если это не учесть, то все настройки безопасности идут коту под хвост. По этому никогда в docker не указывайте ваш ип или 0.0.0.0:port:port без необходимости, только 127.0.0.1:port:port. Хотя это можно запретить через настройки демона или ещё каким-то мазохизмом, но лучше этого не делать.
Нажмите для раскрытия…

Почитай что такое nftables и preraw через который можно обрабатывать пакеты до nat, до floward и до докера.
Тем более я это предусмотрел.

Вам необходимо зарегистрироваться для просмотра изображений-вложений

Как будто никто из вас не читает вообще описание ресурса.
Объединено

Еще у меня через forward фильтруется трафик который идёт через докера.
 
Последнее редактирование:
Art_Farm написал(а):
Так они просто не подходят для Minecraft. И ты в своей задумке не упомянал, что ещё надо на майн отдельно TcpShield поставить, а ты написал просто закрыть все порты и подключить CloudFlare Zero Trust и Warp.
Для CloudFlare Zero Trust и Warp нужен отдельный софт на всех клиентов что ПЛОХО ДЛЯ ЧЕГО ТО публичного
Нажмите для раскрытия…
Углубись поглубже что такое Zero Trust по своей концепции и почему это стандарт кибербезопасности, а Warp Client это лишь дополнительный уровень обороны, который защищает вход на машину по политикам безопасности. Ты путаешь защиту инфраструктуры и публичного доступа. Это не защита самого Minecraft, а именно машины. А если открывать Minecraft без защит уровня TCPShield/Neopotect (Публичного доступа), ты далеко не уйдёшь. Твоя машина не должна гулять в интернете и палится Origin IPs. Это критическая концептуальная уязвимость. Только на самом факте что твоя VDS доступен каждому человеку даёт огромные возможности для пентеста.

При правильном построении Zero Trust архитектуры, VDS не страшны никакие ддос атаки. Именно по такой схеме настраивают, например, банки и игровые компании свои сервера.

Art_Farm написал(а):
Почитай что такое nftables и preraw через который можно обрабатывать пакеты до nat, до floward и до докера.
Тем более я это предусмотрел.
Нажмите для раскрытия…
Я знаю что это такое, по этому написал так же про настройки docker. Но такое почти никогда не делают, потому что можно в будущем стрельнуть себе в ногу и наплодить столько дыр, что тебя любой начинающий хацкер уничтожит. По этому лучше просто знать про гигиену в Docker/Kubernetes/Terraform. Кстати, в официальной документации и в стандартах кибербезопасности про это пишут, что ваще лучше в это не лезть, потому что могут наплодить несовместимости и уязвимости, например с docker network.

Nftabels это фаервол на уровне машины, а не способ защитить её от ддос атак. Это никак не защитит Minecraft проект. Да машину тоже не защитит.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу