Help
Olá,
│ UDP (1500 bytes) from IP_DO_ATACANTE:50048 to MYIP on eth0
Já fiz bloqueio de todo UDP mas mesmo assim o servidor continua consumindo todo o link.
Via iptables não tive sucesso.
Firewall físico no Brasil é extremamente caro.
Alguma dica?
Page 1 of 1
Bloquear UDP Flood
#2
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 390
- Cadastrado: 03-março 07
- Gender:Male
- Location:Indaial/SC
- Interests::)
Posted 09 dezembro 2010 - 12:17
QUOTE(cleber @ Dec 9 2010, 11:50 AM) <{POST_SNAPBACK}>
Olá,
│ UDP (1500 bytes) from IP_DO_ATACANTE:50048 to MYIP on eth0
Já fiz bloqueio de todo UDP mas mesmo assim o servidor continua consumindo todo o link.
Via iptables não tive sucesso.
Firewall físico no Brasil é extremamente caro.
Alguma dica?
│ UDP (1500 bytes) from IP_DO_ATACANTE:50048 to MYIP on eth0
Já fiz bloqueio de todo UDP mas mesmo assim o servidor continua consumindo todo o link.
Via iptables não tive sucesso.
Firewall físico no Brasil é extremamente caro.
Alguma dica?
Pedir pro DC colocar em block no bgp/roteador de borda se for máquina normal (pessoal que usa muito quagga ou mesmo vyatta) ou alguma coisa assim
e provavelmente deve ter um roteador/firewall/IDS antes do teu servidor que da pra colocar uma regra e fechar isto.
This post has been edited by alancb: 09 dezembro 2010 - 12:17
#3
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 495
- Cadastrado: 04-abril 06
Posted 09 dezembro 2010 - 02:23
meu data do nordeste não tem bgp para bloqueio.
e um firewall simples nao resolve tambem, pois a banda é pequena.
Ou seja, volta ao EUA deve ser a melhor escolha, apesar do cliente querer BR
e um firewall simples nao resolve tambem, pois a banda é pequena.
Ou seja, volta ao EUA deve ser a melhor escolha, apesar do cliente querer BR
#4
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 390
- Cadastrado: 03-março 07
- Gender:Male
- Location:Indaial/SC
- Interests::)
Posted 09 dezembro 2010 - 02:37
QUOTE(cleber @ Dec 9 2010, 02:23 PM) <{POST_SNAPBACK}>
meu data do nordeste não tem bgp para bloqueio.
e um firewall simples nao resolve tambem, pois a banda é pequena.
Ou seja, volta ao EUA deve ser a melhor escolha, apesar do cliente querer BR
e um firewall simples nao resolve tambem, pois a banda é pequena.
Ou seja, volta ao EUA deve ser a melhor escolha, apesar do cliente querer BR
Mais um firewall qualquer antes do teu pc, e sem compartilhar o limite de banda do teu servidor resolveria. seria o mesmo efeito de um firewall fisico se tive-se algum linux da vida em bridge(tá, é meio loucura, embora, pode existir).
é complicado, os caras não terem nem um IDS/Firewall no meio do caminho é extremamente facil pra dar qualquer coisa.
#5
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 495
- Cadastrado: 04-abril 06
Posted 09 dezembro 2010 - 02:57
Já testei um bridge antes do servidor, mas a banda dele é a MESMA banda do servidor!
Ou seja, não vale de nada.
Quer dizer, o DC se eu tiver um firewall antes do servidor eles so deixam a mesma banda contratada do servidor.
Se eu tiver um servidor com 6Mbps, antes do firewall só chega 6Mbps ... nao adianta nada.
Ou seja, não vale de nada.
Quer dizer, o DC se eu tiver um firewall antes do servidor eles so deixam a mesma banda contratada do servidor.
Se eu tiver um servidor com 6Mbps, antes do firewall só chega 6Mbps ... nao adianta nada.
#6
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 390
- Cadastrado: 03-março 07
- Gender:Male
- Location:Indaial/SC
- Interests::)
Posted 09 dezembro 2010 - 03:11
QUOTE(cleber @ Dec 9 2010, 03:57 PM) <{POST_SNAPBACK}>
Já testei um bridge antes do servidor, mas a banda dele é a MESMA banda do servidor!
Ou seja, não vale de nada.
Quer dizer, o DC se eu tiver um firewall antes do servidor eles so deixam a mesma banda contratada do servidor.
Se eu tiver um servidor com 6Mbps, antes do firewall só chega 6Mbps ... nao adianta nada.
Ou seja, não vale de nada.
Quer dizer, o DC se eu tiver um firewall antes do servidor eles so deixam a mesma banda contratada do servidor.
Se eu tiver um servidor com 6Mbps, antes do firewall só chega 6Mbps ... nao adianta nada.
Mais, os caras não fazem o favor de bloquear direto na borda? (sem passar pelo teu limite nem nada?)
Se não fizerem isto, so tenho a dizer, procura outro fornecedor. Pois realmente, isto parece amadorismo ou, falta de vontade mesmo (não sei qual o DC, e na boa, nem quero saber).
#7
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 495
- Cadastrado: 04-abril 06
Posted 09 dezembro 2010 - 04:07
Pois é.
Complicado.
Complicado.
Share this topic:
Page 1 of 1