udp prevenção de inundações usando iptables

1

Eu quero evitar inundações udp então eu acho que se eu soltar todos os udps que não vêm da rede interna e não se relacionam com uma conexão udp eu posso evitar inundações udp. na outra palavra, se apenas udps que vêm da rede interna e também udps que vêm de rede externa, mas não é o primeiro e se relacionam a uma conexão udp aceitar e outros soltar a inundação udp não ocorrer e eu acho que esse código iptable que eu escrevo pode trabalhar

# accept any packet that's a response to anything we sent
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p udp -s 8.8.8.0/24 -j ACCEPT

iptables -A INPUT -p udp -j DROP

8.8.8.0/24 é o endereço da minha rede interna. você acha que é verdade? meu código é verdadeiro?

    
por tarane 26.07.2017 / 15:42

1 resposta

1

Você não realizará muito mesmo se as declarações iptables estiverem corretas.

UDP é sem estado. Isso significa que posso enviar arbitrariamente & grandes pacotes UDP para o seu servidor. Estes pacotes serão DROP ped pelo kernel se não houver nenhum processo escutando na porta UDP de destino. O tráfego ainda cruzou a internet e atingiu o seu modem / demarc.

A única coisa que você poderá evitar com a queda do UDP é evitar o alagamento de portas associadas a um serviço em execução. EG: Eu posso criar grandes pacotes DNS e enviá-los via UDP você porta do seu servidor DNS. O servidor presumivelmente ACCEPT desses pacotes e tentará processá-los. É esse processamento que bloqueia a ajuda MIGHT.

Você terá um tempo ruim se tentar bloquear pacotes UDP arbitrários. DHCP, DNS, RPC, NFS, NTP, etc ... Uma tonelada de protocolos de rede importantes são executados em UDP. Isso precisará ser permitido.

Sugiro que você dê outra olhada na sua rede. SE você está tendo um problema com a inundação UDP, é possível analisar a causa exata e as possíveis soluções.

Se você estiver sendo inundado com grandes pacotes UDP que estão preenchendo sua largura de banda upstream, procure obter mais largura de banda ou proteção contra DDoS.

Se algum aplicativo estiver se comportando mal devido à inundação, considere corrigir o aplicativo, usando um melhor, ou ficar louco com algum tipo de firewall de camada 7 para pré-selecionar os pacotes.

Finalmente, se você acha que bloquear UDP flooding é uma boa ideia porque ...? ...? Provavelmente não é. É provável que ele quebre mais do que resolve, a menos que você tenha um problema específico de inundação de UDP.

    
por 26.07.2017 / 16:04