Ir para conteúdo
  • Cadastre-se

[Linux] Ddos Deflate + Csf Firewall (Debian/Ubuntu)

BezneR

Por BezneR
em Tutoriais

 Compartilhar

Posts recomendados

BezneR Novato

BezneR

Postado
Postado (editado)
[CSF FIREWALL]
O CSF é um firewall bem conhecido no ramo do linux, ele já existe a bastante tempo e o pessoal que o criou sempre vem melhorando-o ao passar do tempo, ele irá te ajudar muito, irá filtrar bastante ataques e irá aliviar bem a sua dor de cabeça. Mas lembrando ele não fará milagres, se for um ataque realmente de grande porte você terá que correr para um Dedicado com uma boa proteção física contra ataques DDoS e olhe lá. Enfim, vamos o que interessa!
Primeiro você terá que instalar o CSF em sua maquina:
Caso já tenha feito a instalação anteriormente, execute os comandos abaixo:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Logo após:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Agora iremos a sua configuração, vá até a pasta /etc/csf e abra o arquivo csf.conf com seu editor de texto.
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Adicione as portas que você precisará usar conforme necessário.
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua o item acima pelas portas que você irá usar.
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Esta linha acima é para monitorar quando houver mais de 150 conexões por segundo por IP. (Você pode aumentar caso ache necessário!)
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Nesta linha o IP é bloqueado temporariamente quando chegar a 200 conexões por segundo. (Você pode aumentar caso ache necessário!)
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Isso fará com que porta 22 tenha um limite de 20 conexões por IP a cada 5 segundos e as portas 80, 2106 e 7777 tenham um limite de 150 conexões a cada 5 segundos por IP. (Você pode aumentar caso ache necessário!)
Caso você não use essa opção, retorne para os valores padrões.
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Agora para finalizar, procure por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Agora salve o seu arquivo csf.conf e atualize-o em seu host.
Pronto, após ter feito toda a configuração iremos finalmente reiniciar o CSF.
Vá até o seu terminal SSH e execute o seguinte comando:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Agora o seu CSF já está em funcionamento.
Ele com certeza irá te ajudar bastante, principalmente com ataques feitos com g3m e essas porras ai...
Saiba alguns comandos úteis do CSF para que você possa usá-lo:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
[DDOS DEFLATE]
O DDoS Deflate é um script em shell bash, leve, projetado para auxiliar no processo de bloquear ou minimizar um ataque de negação de serviço (packets excessivos). Ele utiliza um comando para criar uma lista de endereços IP conectados ao servidor, juntamente com o seu número total de conexões e faz uma analise das conexões suspeitas e bloqueiam elas por um certo tempo (configurável). Bom, vamos ao que interessa!
A instalação do DDoS Daflate é muito simples, basta você executar o seguinte comando:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Agora vamos editar as configurações para o script ficar mais funcional, também é super simples!
Vá até /usr/local/ddos e abra o arquivo ddos.conf com seu editor de texto, e faça as seguintes mudanças:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Nesta linha:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Esta configuração é o numero máximo de conexões por IP. Se seu host estiver bloqueando IPs sem necessidade aumente esse numero, ou virse-versa.
Nesta linha:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Deixe 1 apenas se você utiliza o APF Firewall.
Nesta linha:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Aqui é o tempo em segundos que o IP ficará bloqueado, 900 = 15 minutos, aumente caso acho necessário!
Pronto, agora salve o arquivo e atualize-o em seu host, o DDoS Daflate já está atuando em seu servidor!
Algumas informações úteis para a utilização do DDoS Daflate:
Utilize o comando abaixo para ver (de modo grosseiro) a quantidade de conexões que está vindo de cada IP:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
O DDoS Deflate tem uma lista de IPs permitidos, que pode ser editada em /usr/local/ddos/ignore.ip.list.
Você pode configurá-lo para enviar e-mail informando ao bloquear um IP.
[DDOS DEFLATE + CSF FIREWALL]
Antes de começarmos a modificação, faremos um backup do arquivo que vamos alterar:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
2. Utilize o nano para editar o arquivo ddos.sh:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
3. Vá até a linha 159 (aproximadamente) e procure por essa linha:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
4. Apague o conteúdo dessa linha e substitua por:
O conteúdo está oculto, favor efetuar login ou se cadastrar!
5. Por fim, copie o arquivo ddos.sh para a pasta /usr/local/sbin.
O conteúdo está oculto, favor efetuar login ou se cadastrar!
Pronto! Seu DDoS Deflate está configurado para trabalhar com o CSF!
// Edit
Caso você utilize site fora de seu dedicado/vps onde irá rodar seu servidor ou utilize serviços como o CloudFlare , para evitar que o firewall bloqueie o acesso desses determinados IP's, edite os arquivos abaixo, pois com acesso dos usuários aos tais, eles farão muitas requisições podendo então serem bloqueados.
O conteúdo está oculto, favor efetuar login ou se cadastrar!

Obs.: Tem que ser ip físico ex.: 192.168.0.1 ou 192.168.0.1/24

 

IP's do CloudFlare:

O conteúdo está oculto, favor efetuar login ou se cadastrar!

Caso você queira verificar se os IP's acima são realmente da CloudFlare, acesse o link a seguir:

O conteúdo está oculto, favor efetuar login ou se cadastrar!

 

Após reinicie o Csf para validar as novas regras.

O conteúdo está oculto, favor efetuar login ou se cadastrar!
Créditos: Matheus(TibiaKing) e Nightz(TibiaKing)
Editado por PeNaChO
  • Gostei 12

QdeQ9Kp.png

Link para o comentário
Compartilhar em outros sites

Tayran.JavaDev Experto

Tayran.JavaDev

Postado
Postado

Muito bom , eu estou estudando o Linux para passar a usar só Linux nas máquinas que vão rodar o servidor , Obrigado por isso , gostei muito do conteúdo. Levou meu difícil Like :laugh: :bom:

"Tente ser uma pessoa de valor , não de sucesso" - Albert Einstein

 

 

Link para o comentário
Compartilhar em outros sites
RSantos Aprendiz de Novato

RSantos

Postado
Postado

Conteúdo de ótima qualidade, depois de quebrar muita cabeça com o windows, eu já estava pensando em começar a utilizar linux, com pouco conhecimento mais a cada dia vai melhorando, e com esse seu tuto ai vai ficar mais top ainda :D

 

Obrigado, levou meu Like ;)

Quanto maior o conhecimento menor o ego, quanto maior o ego menor o conhecimento.

Link para o comentário
Compartilhar em outros sites
SkyDoidao Aprendiz de Novato

SkyDoidao

Postado
Postado

CSF e mais usado em Cpanel, já instalei em servidores e não tive sucesso, bloqueiam os ips dos players, tem que configurar certinho a quantia de acesso etc, pacotes enviados ao jogo, que no caso e grande.

Bom conteudo, mas para servidores de Lineage e melhor fazer as regras no iptables, CSF e muito chato.

 

Está ai um desafio pra alguém usar com sucesso nos servidores de Lineage.

Link para o comentário
Compartilhar em outros sites
BezneR Novato

BezneR

Postado
  • Autor
Postado

CSF e mais usado em Cpanel, já instalei em servidores e não tive sucesso, bloqueiam os ips dos players, tem que configurar certinho a quantia de acesso etc, pacotes enviados ao jogo, que no caso e grande.

Bom conteudo, mas para servidores de Lineage e melhor fazer as regras no iptables, CSF e muito chato.

 

Está ai um desafio pra alguém usar com sucesso nos servidores de Lineage.

Peguei esse tutorial de um fórum de Tibia, e pelo que vi ele é usado por administradores com servidores de até 800+ players.

Lógico que entre Lineage 2 e Tibia a diferença é imensa, principalmente na parte gráfica.

Portanto, para obter uma configuração para servidores de lineage 2 "aceitável" somente usando e fazendo as devidas modificações, se assim necessário.

Ou usar iptables, como você falou.

Mas isso fica a critério de cada um , o conteúdo está ai para quem quiser usar.

QdeQ9Kp.png

Link para o comentário
Compartilhar em outros sites
  • L2JBr ADM
Grundor Mentor

Grundor

Postado
  • L2JBr ADM
Postado

Bom tutorial, mas se tivesse imagens ficaria melhor.

 

O csf usa o iptables, na verdade ele facilita a configuração do mesmo com regras bem robustas que seriam complicadas de se fazer manualmente no iptables.

 

Eu uso o csf no servidor da l2jbrasil, ele barra tudo que passa pelo firewall principal, também é responsável por atualizar ips maliciosos com base em blacklists internacionais, é uma ótima ferramenta e para linux é uma ferramenta bastante fácil de se usar.

 

Só acho que 150 na 7777 é pouco, durante um PvP massivo poderia haver muitas conexões.

 

Ele também não é 100% seguro, assim como o iptables também não. Regras d+ podem fazer seu servidor travar durante um ataque.

 

 

E outra, prefiram linux derivados do RedHat como o Fedora e o CentOS para servidores de lineage2 pois são mais clean que o debian e o ubuntu.

EJoOSOj.gif

Sua pergunta foi respondida? Certifique-se de marcar a resposta como a solução aceita.
Se existe mais de uma resposta, utilize o "vote up" para destacá-la.
Se você achar uma resposta útil, diga obrigado clicando no botão "Gostei".

Link para o comentário
Compartilhar em outros sites
BezneR Novato

BezneR

Postado
  • Autor
Postado (editado)

Bom tutorial, mas se tivesse imagens ficaria melhor.

 

O csf usa o iptables, na verdade ele facilita a configuração do mesmo com regras bem robustas que seriam complicadas de se fazer manualmente no iptables.

 

Eu uso o csf no servidor da l2jbrasil, ele barra tudo que passa pelo firewall principal, também é responsável por atualizar ips maliciosos com base em blacklists internacionais, é uma ótima ferramenta e para linux é uma ferramenta bastante fácil de se usar.

 

Só acho que 150 na 7777 é pouco, durante um PvP massivo poderia haver muitas conexões.

 

Ele também não é 100% seguro, assim como o iptables também não. Regras d+ podem fazer seu servidor travar durante um ataque.

 

 

E outra, prefiram linux derivados do RedHat como o Fedora e o CentOS para servidores de lineage2 pois são mais clean que o debian e o ubuntu.

Quais os valores que você utiliza para essa opção: PORTFLOOD = "22;tcp;20;5,80;tcp;150;5,2106;tcp;150;5,7777;tcp;150;5" no fórum?

Editado por PeNaChO

QdeQ9Kp.png

Link para o comentário
Compartilhar em outros sites
  • L2JBr ADM
Grundor Mentor

Grundor

Postado
  • L2JBr ADM
Postado

Quais os valores que você utiliza para essa opção: PORTFLOOD = "22;tcp;20;5,80;tcp;150;5,2106;tcp;150;5,7777;tcp;150;5" no fórum?

Isso é confidencial, mas você precisa primeiro determinar a média de conexões por clientes(normais) e na porta específica depois você coloca média + 1

Exemplo: se a média de conexões por IP é 15, vc coloca o número limite de conexões como 16

 

Por exemplo, o Login Server (2106) recebe menos conexões que o gameserver(7777), a porta 80 que é do servidor apache deve receber menos conexões ainda ! :D

EJoOSOj.gif

Sua pergunta foi respondida? Certifique-se de marcar a resposta como a solução aceita.
Se existe mais de uma resposta, utilize o "vote up" para destacá-la.
Se você achar uma resposta útil, diga obrigado clicando no botão "Gostei".

Link para o comentário
Compartilhar em outros sites
BezneR Novato

BezneR

Postado
  • Autor
Postado

Isso é confidencial, mas você precisa primeiro determinar a média de conexões por clientes(normais) e na porta específica depois você coloca média + 1

 

 

Por exemplo, o Login Server (2106) recebe menos conexões que o gameserver(7777), a porta 80 que é do servidor apache deve receber menos conexões ainda ! :D

É, o jeito mesmo é testar.

QdeQ9Kp.png

Link para o comentário
Compartilhar em outros sites
  • 5 weeks later...
BezneR Novato

BezneR

Postado
  • Autor
Postado

um dedicado com firewall físico pode utilizar zonealarm ou o fisico ja da conta ?

Sim pode.

E é bom você ter o seu em seu dedicado/vps, com suas próprias regras, pois o da empresa em si pode não ter a eficiência que você precisa.

QdeQ9Kp.png

Link para o comentário
Compartilhar em outros sites
 Compartilhar
Ir para a lista de tópicos





×
×
  • Criar Novo...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.