IPTABLES / APF redirecting yapmak istiyorum

[volkan]

Merhaba,

IPTABLES kullanarak söyle bisey yapmam gerekiyor. Bütün droplanmis ve 80 portuna gelen ipleri 32 portuna yönlendirmem lazim. Ama mantiken bu yalnis geldigi icin önce su soruyu sormak istiyorum. APF de REDIRECTING varmi. Eger varsa banladigim adami banlamak yerine redirect yapabilirim. Ben apf dökümanlarina baktim ama bulamadim komutunu. Prerouting diye bi dosyasi var ama olmasi lazim.

Ben size asil amacimi anlatayim. Serverim 2 haftadir ciddi bir ataga maruz kaliyor. Bunu engellemek icin kullandigimiz sistem masum insanlari banlayabiliyor. Bende apache ye 32 portuna bi klasör actim ve 32 portunda o ip ye giren kullaniciyi yazdigim php ye yönlendiriyor. Bu php kullanicinin bir bot olup olmadigini anlamak icin Resimde gösterdigi harfleri asagidaki kutuya girmesini istiyor ve formu yolladiginda girdigi ikinci sayfada eger kullanici harfleri dogru girdiyse apf den gerekli rule u temizliyor dolayisiyla kullanicinin bani kalkiyor.

Israrla APF kullanmamin nedeni APF bir ip yi ikinci bir kez banlamama izin vermiyor benim sistemimdede böyle bir acik var yani bir ip bikackere banlanabiliyor. Ve APF den rule silmek kolay. IPTABLES i yalniz basina kullanmiyorum bu yüzden.

Yardimlariniz icin simdiden tesekkürler..

[WHMSonic]

Merhaba,
Sordugunuz soru icin biraz gec bir cevap olacak ama yeni okuyabildim sorunuzu.

Yapmak istediginiz guzel bir dusunce ancak bunu tek bir sunucu ile gerceklestirmeniz durumunda aldiginiz ddos ataklarini ikiye katlamis oluyorsunuz buda sunucuyu tamamen erisilemez duruma sokar.

Ataklar direk olarak 80 nolu porta yogun bir sekilde gelir, bu yogunluk icerisinde server zar zor ayakta kalir guvenlik saglam ise bu yogun isteklerin tumunu saldiri altinda apache'nin yonlendirmesi demek 2 kat daha fazla yogunluk demektir.

Neden 2 kat ben sadece apf de ban listesindeki ip leri yonlendiriyorum:
Dogru fakat ddos ataklarinda atak yapan ip ayni ip'den sunucunuza en az 5 istek daha yapar buda kalan 5 istegi yonlendirmeniz anlamina gelir.

Size kisisel onerim bu tur bir girisimde bulunmamanizdir, ataklari APF ile direk olarak droplamak sizin icin daha uygun. Egerki bas edilemiyorsa donanimsal firewall cozumlerine bakilmalidir.

[volkan]

Öncelikle ilginiz icin tesekkür ederim. Atak yapanin söyledigine göre 2000 bot kullanarak yapiyormus atagi ve muhtemelen atagi sunucuda bulunan 22 siteden birine veya birkacina dagitarak yapiyor ve makinaya yük getirebilecek phpleri calistiriyor. Sunucuda APF var BDF diye bir program kurmus firma(profosyonel yardim aldik) ddos icin yapilmis apf ile birlikte calisan basit bir bashscript calisiyor bunlarin hic biri makinayi kitlenmekten
kurtaramadigi icin basit bi program yazdik loadi takip ediyor 10 u gectigi zaman su komutu verip

Code:

 netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "/usr/local/sbin/apf -d " $1}' > /home/cpu/DDOS
/home/cpu/DDOS
sleep 2
netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "/usr/local/sbin/apf -d " $1}' > /home/cpu/DDOS
/home/cpu/DDOS
sleep 2
netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "/usr/local/sbin/apf -d " $1}' > /home/cpu/DDOS
/home/cpu/DDOS
sleep 2
netstat -n -p | grep SYN_REC | awk '{print $5}' | sort -u | awk -F: '{print "/usr/local/sbin/apf -d " $1}' > /home/cpu/DDOS
/home/cpu/DDOS 

bu komutlari giriyor. Kodlardanda anlayacaginiz gibi netstat ile syn_rec e düsmüs ipleri listeliyor komut satiri olusturup ddos adli dossyaya kücük bir bashscript hazirliyor sonrada ddos dosyasini calistirip kullanicilari dropluyor. Sistemi kastirmicak bi php ye yönlendirirsem ben kullanicilari sistemi zorluyacagini sanmiyorum. ama bunun disinda mysql makinasi olarak kullandigimiz bi makina daha var ayni datacenterda. diger makinada bir apache portu acarak o makinaya yönlendirebilirim.

Suan icin bu cözüm bize zarar getiriyor. söyleki saatbasi loadlar 500 lere yükseliyor. neden bu aralikta yükseldigini bilmiyorum. Ve atagi kesinlikle kesmiyolar. Dolayisiyla arama motoru botlarini sponsorlarimizin ip lerini droplayabiliyor sistem.

Fikirlerinizi paylasirsaniz sevinirim.