Я хочу предотвратить наводнение udp, поэтому я думаю, что если я отброшу все udps, которые не поступают из внутренней сети и не относятся к соединению udp, я могу предотвратить наводнение udp. другими словами, если только udps, которые поступают из внутренней сети, а также udps, которые поступают из внешней сети, но не являются первыми и связаны с принятием соединения udp, а другие отбрасывают udp flooding, не происходит, и я думаю, что этот код iptable, который я пишу может работать
# accept any packet that's a response to anything we sent
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -s 8.8.8.0/24 -j ACCEPT
iptables -A INPUT -p udp -j DROP
8.8.8.0/24 - это адрес моей внутренней сети. ты думаешь это правда? мой код верен?
Вы не добьетесь многого, даже если ваш iptables
утверждения были правильными.
UDP
не имеет гражданства. Это означает, что я могу отправлять на ваш сервер произвольные и большие пакеты UDP. Эти пакеты будут DROP
ped ядром, если на целевом UDP-порту нет процесса. Трафик все еще проходит через Интернет и попадает в ваш модем / демаркацию.
Единственное, что вы сможете предотвратить при отбрасывании UDP, - это предотвратить переполнение портов, связанных с работающей службой. EG: Я могу создавать большие DNS-пакеты и отправлять их через UDP на порт вашего DNS-сервера. Предположительно сервер будет ACCEPT
эти пакеты и попытаться их обработать. Именно эта обработка МОЖЕТ помочь.
У вас будут плохие времена, если вы попытаетесь заблокировать произвольные пакеты UDP. DHCP, DNS, RPC, NFS, NTP и т. Д. Множество важных сетевых протоколов работают через UDP. Это нужно будет разрешить.
Предлагаю вам еще раз взглянуть на свою сеть. ЕСЛИ у вас возникла проблема с UDP-лавинной рассылкой, вы можете определить точную причину и возможные решения.
Если вас наводняют большие пакеты UDP, которые заполняют вашу пропускную способность восходящего потока, обратите внимание на получение большей пропускной способности или защиты от DDoS.
Если какое-то приложение плохо себя ведет из-за наводнения, подумайте о том, чтобы исправить это приложение, использовать более качественное или сходить с ума с какого-то межсетевого экрана уровня 7 для предварительной проверки пакетов.
Наконец, если вы просто думаете о блокировке UDP flooding
это хорошая идея, потому что ....? ...? Наверное, нет. Скорее всего, он сломает больше, чем решит, если у вас нет конкретной проблемы с UDP-потоком.