IPTables/Fail2ban und DDoS Schutz über UDP
IPTables/Fail2ban und DDoS Schutz über UDP
Hallo ihr lieben,
ich benötige einmal Euren Expertenrat. Und ich hoffe das ihr mir helfen könnt. Die Ausgangssituation ist folgende: Ich habe einen vServer bei Hetzner (Cloudserver). Der funktioniert ganz gut und ich bin auch zufrieden. Problem ist, dass ich seit vorgestern bis gestern massiven Angriffen ausgesetzt war. Ich kann Euch nicht sagen ob es DDoS/DoS oder Angriffe die auf bestimmte Ports abzielen. Ich habe aktuell über IPTABLES und IPDENY sämtliche Länder gesperrt. Zudem läuft IPTABLES mit diversen Regeln, die bestimmte eingehende Verbindungen auf verschiedenen Ports überwachen. Nun habe ich nach der 1. Angriffswelle auch die Firewall über Hetzner aktiviert, die den kompletten eingehenden Datenverkehr überwacht + meine eigenen IPTABLES (Im Grunde genau die gleichen Einstellungen).
Leider passierte es, dass die nächste Angriffswelle kam. Nun habe ich mich ein wenig mit der Materie beschäftigt, und habe die Idee gehabt einen Load Balancer "Zwischenzuschalten". Das Problem, mit den Hetzner Load Balancern kann man nur HTTP/HTTPS/TCP Verbindungen weiterleiten. Ich benötige aber auch UDP weil auf dem Server unter anderen ein Teamspeak Server läuft. Also habe ich die Idee mit dem Load Balancer wieder verworfen.
Nun habe ich ein wenig im Netz recherchiert und gelesen das man auch Fail2Ban einsetzen kann. UDP Beschränkungen filtere ich aktuell mit
iptables -A INPUT -p tcp --dport 9987 -m limit --limit 2/minute --limit-burst 15 -j ACCEPT
Ich danke schon jetzt für Eure zahlreichen antworten <3
ich benötige einmal Euren Expertenrat. Und ich hoffe das ihr mir helfen könnt. Die Ausgangssituation ist folgende: Ich habe einen vServer bei Hetzner (Cloudserver). Der funktioniert ganz gut und ich bin auch zufrieden. Problem ist, dass ich seit vorgestern bis gestern massiven Angriffen ausgesetzt war. Ich kann Euch nicht sagen ob es DDoS/DoS oder Angriffe die auf bestimmte Ports abzielen. Ich habe aktuell über IPTABLES und IPDENY sämtliche Länder gesperrt. Zudem läuft IPTABLES mit diversen Regeln, die bestimmte eingehende Verbindungen auf verschiedenen Ports überwachen. Nun habe ich nach der 1. Angriffswelle auch die Firewall über Hetzner aktiviert, die den kompletten eingehenden Datenverkehr überwacht + meine eigenen IPTABLES (Im Grunde genau die gleichen Einstellungen).
Leider passierte es, dass die nächste Angriffswelle kam. Nun habe ich mich ein wenig mit der Materie beschäftigt, und habe die Idee gehabt einen Load Balancer "Zwischenzuschalten". Das Problem, mit den Hetzner Load Balancern kann man nur HTTP/HTTPS/TCP Verbindungen weiterleiten. Ich benötige aber auch UDP weil auf dem Server unter anderen ein Teamspeak Server läuft. Also habe ich die Idee mit dem Load Balancer wieder verworfen.
Nun habe ich ein wenig im Netz recherchiert und gelesen das man auch Fail2Ban einsetzen kann. UDP Beschränkungen filtere ich aktuell mit
iptables -A INPUT -p tcp --dport 9987 -m limit --limit 2/minute --limit-burst 15 -j ACCEPT
Ich danke schon jetzt für Eure zahlreichen antworten <3
Last edited by trollolol on Tue 21. Mar 2023, 09:02, edited 1 time in total.
- Jolinar
- Community Moderator
- Posts: 3602
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: IPTables/Fail2ban und DDoS Schutz über UDP
Du kannst Angriffe möglicherweise mit der systemeigenen Firewall etwas abmildern, aber deinem vServer fehlen schlicht die Ressourcen, um da wirklich ernsthaft was abzufangen.
Je nach Art und Dauer der bisher erfolgten Attacken wäre es eine Überlegung wert, die Seite (zumindest temporär) über Cloudflare, Voxility o.ä. zu routen.
Je nach Art und Dauer der bisher erfolgten Attacken wäre es eine Überlegung wert, die Seite (zumindest temporär) über Cloudflare, Voxility o.ä. zu routen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: IPTables/Fail2ban und DDoS Schutz über UDP
Und ich würde mich ernsthaft fragen warum irgendjemand meinen Gamingserver attackieren sollte?
Macht doch irgendwie keinen Sinn?
Macht doch irgendwie keinen Sinn?
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: IPTables/Fail2ban und DDoS Schutz über UDP
Hab ich mir schon fast gedacht. Bringt also auch nix wenn der EintragJolinar wrote: ↑Tue 21. Mar 2023, 09:01 Du kannst Angriffe möglicherweise mit der systemeigenen Firewall etwas abmildern, aber deinem vServer fehlen schlicht die Ressourcen, um da wirklich ernsthaft was abzufangen.
Je nach Art und Dauer der bisher erfolgten Attacken wäre es eine Überlegung wert, die Seite (zumindest temporär) über Cloudflare, Voxility o.ä. zu routen.
Code: Select all
iptables -A INPUT -p tcp --dport 9987 -m limit --limit 2/minute --limit-burst 15 -j ACCEPT
Das hab ich auch schon überlegt, ich weiß allerdings nicht inwieweit sich Cloudflare mit Teamspeak vereinbaren lässt. Auf der Webseite finde ich leider nicht viel.
Es geht hier nicht um unsere Gameserver, sondern unsere Webseite und unseren Teamspeak. Das Problem was die oder derjenige hat, können wir auch nicht nachvollziehen. Aber es ist wie überall: Konkurrenten müssen weg - Ist halt nur sehr schade, weil uns dadurch User verloren gehen.
- Jolinar
- Community Moderator
- Posts: 3602
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: IPTables/Fail2ban und DDoS Schutz über UDP
IMHO sollte das funktionieren...Es gibt ja auch anderen UDP Traffic als TS3, der durch CF geroutet wird.
Was den TS angeht, hast du denn da schon mal die integrierte Flood Protection des Teamspeak-Servers aktiviert?
Edit:
Du könntest natürlich auch noch ein wenig mit F2B rumspielen, um deine Probleme zu mildern.
Code: Select all
[teamspeak]
enabled = true
port = ts3
filter = teamspeak
logpath = /var/log/teamspeak/teamspeak3-server.log
maxretry = 5
Last edited by Jolinar on Tue 21. Mar 2023, 11:44, edited 1 time in total.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: IPTables/Fail2ban und DDoS Schutz über UDP
Du meinst wieviel Verbindungen pro IP zugelassen werden? - Nein das hab ich noch nicht probiert, das werde ich aber heute definitiv nacholen.
So einfach? Mensch, ich dachte da muss ich noch 20 Zeilen dazuschreibenJolinar wrote:Edit:
Du könntest natürlich auch noch ein wenig mit F2B rumspielen, um deine Probleme zu mildern.Habs jetzt nicht getestet (speziell den Pfad nochmal checken)! Aber so kannst du die Zugriffsanzahl auch etwas drosseln.Code: Select all
[teamspeak] enabled = true port = ts3 filter = teamspeak logpath = /var/log/teamspeak/teamspeak3-server.log maxretry = 5
Ja, der Pfad ist ein anderer. Ich werde es mal testen. Unabhängig davon, ist glaub ich CloudFlare die bessere Wahl.
An CloudFlare stört mich nur, das ich meine regulären NS gegen die von CF ersetzen muss. Und ich hab "Angst" das meine Seite und der TS natürlich nicht erreichbar ist. Die alten Nameservereinträge stehen lassen bis die von CF laufen ist nicht ratsam? Boah, das ist komplettes neuland für mich.
Ich habe schon mehrere Serverumzüge hinter mir und weiß wie lange das dauern kann.
Für mich ist wichtig das der Teamspeak und wenigstens die Webseite ohne große Unterbrechungen weiterlaufen. Kennt jemand die direkten Einstellungen für CF was den Teamspeak betrifft? Wäre wirklich super lieb.
- Jolinar
- Community Moderator
- Posts: 3602
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: IPTables/Fail2ban und DDoS Schutz über UDP
Ebenfalls ungetestet (ich hab schon seit jahren keinen TS3 mehr ):
In der ts3server.ini folgende Einstellungen vornehmen (die Werte entsprechend deinen Bedürfnissen anpassen):
Code: Select all
[flood]
flood_time=2
flood_ban_time=10
flood_ban_limit=4
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
- Jolinar
- Community Moderator
- Posts: 3602
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: IPTables/Fail2ban und DDoS Schutz über UDP
Wieder ungetestet:
- Melde dich beim Cloudflare-Dashboard an und wähle die Domain aus, für die du die Portweiterleitung einrichten möchtest.
- Klicke auf "Firewall" und dann auf "Firewall-Regeln".
- Klicke auf "Eine Firewall-Regel erstellen".
- Gib einen Namen für die Firewall-Regel ein, z.B. "Teamspeak-Ports".
- Wähle als "IF" die Option "Hostname" aus und gib den Hostnamen der Teamspeak-Subdomain ein, z.B. "ts.example.com".
- Wähle als "THEN" die Option "Zugangsregeln anwenden" und klicke auf "Zugangsregel erstellen".
- Gib die folgenden Portnummern als separate Regeln ein:
- Port 9987 für Voice
- Port 10011 für Server Query
- Port 30033 für Dateitransfer
- Wähle für jede Regel die Option "Aktion festlegen" und dann "Weiterleitung". Gib die IP-Adresse deines Teamspeak-Servers ein.
- Klicke auf "Sichern" und Ihre Firewall-Regeln werden gespeichert.
Beachte:
Wenn du Cloudflare einsetzt, hast du logischerweise höhere Latenzen wegen des Routings über die CF Infrastruktur. Du solltest also in diesem Fall durchaus mit einem gewissen Lagging auf deinem TS Server rechnen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views