Доброе время знатоки. Пред история. Дома стоит домашний сервер, из-за периодического ддоса был куплен новый роутер, который помог, после атаки стали сильнее и начались ещё более проблемы, в итоге мною было принято решение, такое, что в данный момент интернет от провайдера идёт сначала в сервер, фильтруется, после идёт на роутер и на другие устройства. Но опять же возникли проблемы, в том что периодически отваливается интернет дома, то проблемы с iptables, то с ppp0, то ещё что-то и постоянно из-за этого страдают устройства дома, а так же сам сервер (сам сервер на debian 8). Вопрос заключается в том, какое оборудование купить для нормальной фильтрации трафика. Возможно стоит какой-то аппаратный сетевой экран купить, если да, то какие модели самые нормальные по цене и прочее. Заранее спасибо
P.S. Не предлагайте покупка нормального хостинга и т.д.
из-за периодического ддоса был куплен новый роутер
Вы тут ничего не перепутали? Чего вы под этим то подарузумиваете? Вываливайте всё как на духу или собсно вам помогать нет смысла ибо пустая трата времени.
Даже если вы поставите нормальный фаервол, рано или поздно атака "DDoS" упрется в ширину канала и тогда уже будет бесполезно что-либо делать.
Ну и чтобы что-то советовать нужно понимать детали. Кто атакует, что атакует, какой софт все это обрабатывает и как именно...
Дмитрий: меня не так поняли видимо. Я спрашиваю про то, какое можно взять оборудование, какой-нибудь аппаратный фаервол, какие фирмы нормальные и прочее, а не как защититься от фаервола
koshiks: На ваш вопрос нельза ответить не зная деталей. Ширина канала, pps, тип нагрузки, сколько правил фаервола планируется?
Из того что я вижу в вопросе - у вас уже есть сервер, но вы почему-то не осилили его настройку.
Хотите абстрактные советы? Пожалуйста: Zyxel Zywall, Cisco ASA... да любое брендированое решение, на котором написано "Firewall" или "Межсетевой экран"
Дмитрий: Я объясню. Сейчас роутер Zyxel Keenetic Viva стоит, на нём настроен фаеврол (в последствии так же настроен был фаервол на сервере), но ничего из этого не помогло, забивают канал под 100 мб\сек и всё. С 2 айпи адресов, баны не помогают, ничего не помогает. Порты открыты только на нужные сервисы. Долбят на мой udp
koshiks: Собственно об этом я и написал в первом комментарии. Кто-то долбится в ваш канал забивая его на 100%. Фаервол здесь вам не поможет никаким образом. Он может только фильтровать приходящие пакеты, но вы не в состоянии запретить "атакующим" вообще посылать вам трафик.
Вам нужен внешний сервер или сервис с более широким каналом в который будет заруливать весь трафик и только после фильтрации перенаправляться к конечному серверу легитиммные запросы. Почитайте теорию защиты от DoS и DDoS.
Как верно указали в ответах, есть сервисы предоставляющие такие услуги. Но за бесплатно там мало чего получится.
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
//COPY01 EXEC PGM=IEBGENER
Обычно сеть строится как раз наоборот - сначала роутер, на который возлагаются оборонительные функции, а уже за ним сервак. Именно задача роутера - фильтровать трафик, он специально заточен под это. Не надо только брать "доширак-модели" от TP-Link и подобные - они для тех, кто хочет "поставить и забыть" и зачастую даже пароль админа не меняет. Брать нужно микротик, модель типа RB450G, если машин немного, RB2011-UiAS, если побольше (или их более новые аналоги).
некоторые ваши слова не совсем ясны.
1 IP белый?
2 если да, то где вы его каждый раз засвечиваете?
3 Если IP светится из-за WEB-сервера на котором какой либо сайт работает, тогда вам надо подключать бесплатный тариф у Cloudflare и проксировать трафик через их сервера на свой. При этом ваш IP домашний при правильных настройках не будет светится во вне, как хостинг.
4 Естественно домашние роутеры для паблик сервера не подходят, тут необходимо железо посерьезнее, начинать с микротика. Естественно нет смысла брать MikroTik RB2011UiAS-2HnD-IN т.к. там вафля только 2.4
есть смысл выбирать между:
RB2011UiAS-IN при наличии отдельного роутера на частоты вайфая 2,4 и 5 ГГц;
hAP ac имеет на борту уже вайфай 2,4 и 5 ГГц;
Наличие sfp порта гарантирует, что когда прийдут в квартиру технология ВОЛС, то не придется менять оборудование или использовать медиаконвертер.
USB присутствуют на обоих моделях.
На данный момент сам перехожу с 2011 на 3011, т.к. 2011 своеобразный гибрид, для дома подойдет, для чего-то большего - слабоват.
koshiks: а как клауд вас должен спасти если вы прямой IP отдаете до тимспика?
вы путаете проксирование http и https трафика с прямым подключением.
Проксируйте через хорошее железо, либо заворачивайте подключение через внешний впс
Правильный ответ - покупка нормального хостинга. Домашний канал по сравнению с каналом хостинга (или канала любого защищающего от ддоса CDN) - тонюсенькая ниточка. Увы.
koshiks: При условии что VPN клиент будет установлен на самом сервере - так и будет. А вообще там можно и маршруты клиентам пушить и настройками запретить дальше сервера ходить.
Сложный
Средний
