IPTables/Fail2ban und DDoS Schutz über UDP

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
Post Reply
trollolol
Posts: 144
Joined: Wed 18. Sep 2019, 10:18
Location: Eisenach

IPTables/Fail2ban und DDoS Schutz über UDP

Post by trollolol »

Hallo ihr lieben,

ich benötige einmal Euren Expertenrat. Und ich hoffe das ihr mir helfen könnt. Die Ausgangssituation ist folgende: Ich habe einen vServer bei Hetzner (Cloudserver). Der funktioniert ganz gut und ich bin auch zufrieden. Problem ist, dass ich seit vorgestern bis gestern massiven Angriffen ausgesetzt war. Ich kann Euch nicht sagen ob es DDoS/DoS oder Angriffe die auf bestimmte Ports abzielen. Ich habe aktuell über IPTABLES und IPDENY sämtliche Länder gesperrt. Zudem läuft IPTABLES mit diversen Regeln, die bestimmte eingehende Verbindungen auf verschiedenen Ports überwachen. Nun habe ich nach der 1. Angriffswelle auch die Firewall über Hetzner aktiviert, die den kompletten eingehenden Datenverkehr überwacht + meine eigenen IPTABLES (Im Grunde genau die gleichen Einstellungen).

Leider passierte es, dass die nächste Angriffswelle kam. Nun habe ich mich ein wenig mit der Materie beschäftigt, und habe die Idee gehabt einen Load Balancer "Zwischenzuschalten". Das Problem, mit den Hetzner Load Balancern kann man nur HTTP/HTTPS/TCP Verbindungen weiterleiten. Ich benötige aber auch UDP weil auf dem Server unter anderen ein Teamspeak Server läuft. Also habe ich die Idee mit dem Load Balancer wieder verworfen.

Nun habe ich ein wenig im Netz recherchiert und gelesen das man auch Fail2Ban einsetzen kann. UDP Beschränkungen filtere ich aktuell mit
iptables -A INPUT -p tcp --dport 9987 -m limit --limit 2/minute --limit-burst 15 -j ACCEPT

Ich danke schon jetzt für Eure zahlreichen antworten <3
Last edited by trollolol on Tue 21. Mar 2023, 09:02, edited 1 time in total.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: IPTables/Fail2ban und DDoS Schutz über UDP

Post by Jolinar »

Du kannst Angriffe möglicherweise mit der systemeigenen Firewall etwas abmildern, aber deinem vServer fehlen schlicht die Ressourcen, um da wirklich ernsthaft was abzufangen.
Je nach Art und Dauer der bisher erfolgten Attacken wäre es eine Überlegung wert, die Seite (zumindest temporär) über Cloudflare, Voxility o.ä. zu routen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: IPTables/Fail2ban und DDoS Schutz über UDP

Post by Tobi »

Und ich würde mich ernsthaft fragen warum irgendjemand meinen Gamingserver attackieren sollte?

Macht doch irgendwie keinen Sinn?
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
trollolol
Posts: 144
Joined: Wed 18. Sep 2019, 10:18
Location: Eisenach

Re: IPTables/Fail2ban und DDoS Schutz über UDP

Post by trollolol »

Jolinar wrote: Tue 21. Mar 2023, 09:01 Du kannst Angriffe möglicherweise mit der systemeigenen Firewall etwas abmildern, aber deinem vServer fehlen schlicht die Ressourcen, um da wirklich ernsthaft was abzufangen.
Je nach Art und Dauer der bisher erfolgten Attacken wäre es eine Überlegung wert, die Seite (zumindest temporär) über Cloudflare, Voxility o.ä. zu routen.
Hab ich mir schon fast gedacht. Bringt also auch nix wenn der Eintrag

Code: Select all

iptables -A INPUT -p tcp --dport 9987 -m limit --limit 2/minute --limit-burst 15 -j ACCEPT
in der Firewall steht.

Das hab ich auch schon überlegt, ich weiß allerdings nicht inwieweit sich Cloudflare mit Teamspeak vereinbaren lässt. Auf der Webseite finde ich leider nicht viel.
Tobi wrote: Tue 21. Mar 2023, 09:04 Und ich würde mich ernsthaft fragen warum irgendjemand meinen Gamingserver attackieren sollte?

Macht doch irgendwie keinen Sinn?
Es geht hier nicht um unsere Gameserver, sondern unsere Webseite und unseren Teamspeak. Das Problem was die oder derjenige hat, können wir auch nicht nachvollziehen. Aber es ist wie überall: Konkurrenten müssen weg :) ;) - Ist halt nur sehr schade, weil uns dadurch User verloren gehen.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: IPTables/Fail2ban und DDoS Schutz über UDP

Post by Jolinar »

trollolol wrote: Tue 21. Mar 2023, 11:13 ich weiß allerdings nicht inwieweit sich Cloudflare mit Teamspeak vereinbaren lässt.
IMHO sollte das funktionieren...Es gibt ja auch anderen UDP Traffic als TS3, der durch CF geroutet wird.

trollolol wrote: Tue 21. Mar 2023, 11:13 Es geht hier nicht um unsere Gameserver, sondern unsere Webseite und unseren Teamspeak.
Was den TS angeht, hast du denn da schon mal die integrierte Flood Protection des Teamspeak-Servers aktiviert?

Edit:
Du könntest natürlich auch noch ein wenig mit F2B rumspielen, um deine Probleme zu mildern.

Code: Select all

[teamspeak]
enabled  = true
port     = ts3
filter   = teamspeak
logpath  = /var/log/teamspeak/teamspeak3-server.log
maxretry = 5
Habs jetzt nicht getestet (speziell den Pfad nochmal checken)! Aber so kannst du die Zugriffsanzahl auch etwas drosseln.
Last edited by Jolinar on Tue 21. Mar 2023, 11:44, edited 1 time in total.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
trollolol
Posts: 144
Joined: Wed 18. Sep 2019, 10:18
Location: Eisenach

Re: IPTables/Fail2ban und DDoS Schutz über UDP

Post by trollolol »

Jolinar wrote:
trollolol wrote: Tue 21. Mar 2023, 11:13 Es geht hier nicht um unsere Gameserver, sondern unsere Webseite und unseren Teamspeak.
Was den TS angeht, hast du denn da schon mal die integrierte Flood Protection des Teamspeak-Servers aktiviert?
Du meinst wieviel Verbindungen pro IP zugelassen werden? - Nein das hab ich noch nicht probiert, das werde ich aber heute definitiv nacholen.

Jolinar wrote:Edit:
Du könntest natürlich auch noch ein wenig mit F2B rumspielen, um deine Probleme zu mildern.

Code: Select all

[teamspeak]
enabled  = true
port     = ts3
filter   = teamspeak
logpath  = /var/log/teamspeak/teamspeak3-server.log
maxretry = 5
Habs jetzt nicht getestet (speziell den Pfad nochmal checken)! Aber so kannst du die Zugriffsanzahl auch etwas drosseln.
So einfach? Mensch, ich dachte da muss ich noch 20 Zeilen dazuschreiben :lol: :lol: :lol:
Ja, der Pfad ist ein anderer. Ich werde es mal testen. Unabhängig davon, ist glaub ich CloudFlare die bessere Wahl.

An CloudFlare stört mich nur, das ich meine regulären NS gegen die von CF ersetzen muss. Und ich hab "Angst" das meine Seite und der TS natürlich nicht erreichbar ist. Die alten Nameservereinträge stehen lassen bis die von CF laufen ist nicht ratsam? Boah, das ist komplettes neuland für mich.

Ich habe schon mehrere Serverumzüge hinter mir und weiß wie lange das dauern kann.

Für mich ist wichtig das der Teamspeak und wenigstens die Webseite ohne große Unterbrechungen weiterlaufen. Kennt jemand die direkten Einstellungen für CF was den Teamspeak betrifft? Wäre wirklich super lieb.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: IPTables/Fail2ban und DDoS Schutz über UDP

Post by Jolinar »

trollolol wrote: Tue 21. Mar 2023, 15:00 Nein das hab ich noch nicht probiert, das werde ich aber heute definitiv nacholen.
Ebenfalls ungetestet (ich hab schon seit jahren keinen TS3 mehr :lol: ):
In der ts3server.ini folgende Einstellungen vornehmen (die Werte entsprechend deinen Bedürfnissen anpassen):

Code: Select all

[flood]
flood_time=2
flood_ban_time=10
flood_ban_limit=4
Hier ist flood_time die Zeitdauer in Sekunden, innerhalb derer mehrere Anfragen von derselben IP-Adresse als Angriff gewertet werden. flood_ban_time ist die Zeitdauer, für die die IP-Adresse gebannt wird, wenn sie den Schwellenwert erreicht hat. flood_ban_limit ist die Anzahl der Anfragen, die von derselben IP-Adresse innerhalb von flood_time gestellt werden können, bevor die Flood Protection greift.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: IPTables/Fail2ban und DDoS Schutz über UDP

Post by Jolinar »

trollolol wrote: Tue 21. Mar 2023, 15:00 Kennt jemand die direkten Einstellungen für CF was den Teamspeak betrifft? Wäre wirklich super lieb.
Wieder ungetestet:
  1. Melde dich beim Cloudflare-Dashboard an und wähle die Domain aus, für die du die Portweiterleitung einrichten möchtest.
  2. Klicke auf "Firewall" und dann auf "Firewall-Regeln".
  3. Klicke auf "Eine Firewall-Regel erstellen".
  4. Gib einen Namen für die Firewall-Regel ein, z.B. "Teamspeak-Ports".
  5. Wähle als "IF" die Option "Hostname" aus und gib den Hostnamen der Teamspeak-Subdomain ein, z.B. "ts.example.com".
  6. Wähle als "THEN" die Option "Zugangsregeln anwenden" und klicke auf "Zugangsregel erstellen".
  7. Gib die folgenden Portnummern als separate Regeln ein:
    • Port 9987 für Voice
    • Port 10011 für Server Query
    • Port 30033 für Dateitransfer
  8. Wähle für jede Regel die Option "Aktion festlegen" und dann "Weiterleitung". Gib die IP-Adresse deines Teamspeak-Servers ein.
  9. Klicke auf "Sichern" und Ihre Firewall-Regeln werden gespeichert.
Damit sollten die erforderlichen Ports für den Teamspeak-Server über Cloudflare weitergeleitet werden.

Beachte:
Wenn du Cloudflare einsetzt, hast du logischerweise höhere Latenzen wegen des Routings über die CF Infrastruktur. Du solltest also in diesem Fall durchaus mit einem gewissen Lagging auf deinem TS Server rechnen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
Post Reply