Problema Com Firewall

[joaopaulo]

o melhor firewall sem dúvidas é o do dunha.. que fez ele na unha hauahauhuahaua

Realmente, como disseram o CSF consegue bloquear um ou outro DOS. Agora DDOS é um ataque que não se combate por firewall. A única maneira seria a com um poder de processamento e largura de rede infinito, dado que ele tem por objetivo paralisar serviços pelo estouro da capacidade máxima de processamento ou da largura de banda.

Abraço

[gluppi]

O que esta ocorrendo aqui é que o DDOS na minha porta 80 esta travando o apache, preciso arrumar uma forma de amenizar o problema, alguem ajuda?

[joaopaulo]

Bom, aí não há muito o que fazer, a solução seria um firewall físico, ou seja, uma barreira antes de chegar ao servidor.

Não adiantaria bloquear IPs de outros países,cambalz, dado que o firewall do seu servidor não daria conta e continuaria tudo na mesma...

Veja a possibilidade de contratar um CISCO

[gluppi]

Como contrato um firewall fisico?

[joaopaulo]

Diretamente no datacenter :D

[gluppi]

Eu perguntei, me ofereceram o cisco nas, algo assim, porem falaram que nao iriam proteger contra DDOS!

Outra coisa que acho estranho no CSF, é que mesmo eu mandando ele bloquear meu proprio ip para testar, ele nao faz isso!

Os status esta como runing.

[avonni]

Eu perguntei, me ofereceram o cisco nas, algo assim, porem falaram que nao iriam proteger contra DDOS!

Outra coisa que acho estranho no CSF, é que mesmo eu mandando ele bloquear meu proprio ip para testar, ele nao faz isso!

Os status esta como runing.

Seu IP deve ter sido adicionado ao csf.allow durante a instalação. Talvez seja por isso que você não consiga se bloquear.

Devo salientar porém que essa não é uma boa ideia. :)

E como já foi informado, o problema não é o CSF ou qualquer outro firewall que você possa instalar. Se o ataque é DDoS, você vai precisar de outra solução.

Firewall físico pode te ajudar se o "DDoS" for pequeno. Se for algo grande, você precisa contratar uma solução específica pra DDoS (e isso não será nada barato).

Se for muito grande, então não há praticamente nada que possa ser feito. Só aguardar que o ataque cesse. -_-

[Jordan Miguel]

DDoS é DDoS, não adianta tentar bloquear com um firewall via software, tem que ser um hardware se o ataque for pelomenos de médio porte.

[gluppi]

Obrigado pelas dicas.

Consegui ativar meu CSF.

Ele esta anulando o pING e tudo mais.

Meu problema agora é que ele digamos, acordou de uma forma afiada de mais.

Se tem 2PC acessando mesmo site ele ja bloqueia a conexão.

Se dou f5 na pagina ele ja bloqueia meu ip!

Alguém sabe onde configuro isso para ele ficar menos agressivo?

[aleroel]

Fala galera do PDH,

Estou com o erro:

Firewall Status: Enabled but Stopped

root@server [~]# perl /etc/csf/csftest.pl

Testing ip_tables/iptable_filter...OK

Testing ipt_LOG...OK

Testing ipt_multiport/xt_multiport...OK

Testing ipt_REJECT...OK

Testing ipt_state/xt_state...OK

Testing ipt_limit/xt_limit...OK

Testing ipt_recent...OK

Testing xt_connlimit...FAILED [Error: iptables: Invalid argument. Run `dmesg' for more information.] - Required for CONNLIMIT feature

Testing ipt_owner/xt_owner...OK

Testing iptable_nat/ipt_REDIRECT...OK

Testing iptable_nat/ipt_DNAT...OK

RESULT: csf will function on this server but some features will not work due to some missing iptables modules [1]

Como resolvo?