Я собираюсь купить два компьютера, для которых собираюсь использовать их:
Компьютер (1). Прием и фильтрация пакетов. (на компьютере две сетевые платы) .CLEAROS
Компьютер (2). Игровой сервер для приема пакетов. (одна сетевая плата) .Windows7
Компьютер (1) wan-порты:
Вот как все работает, используя только 1 компьютер для игрового сервера:
S.P = Send packets
Client <------S.P-------------> |server's firewall| <-------> Server
Но я хочу использовать два компьютера и фильтры. Вот так будет подключение:
P.S = Packets sending
W.N = Won't Reach
Client ------P.S---->Computer(1)+ClearOS checking(if the client is flooding server ) ----W.N------/------> Computer(2)--->client
else
Client -----P.S----->Computer(1)+ClearOS checking(if the client is NOT flooding server ) -----> Computer(2)----->client
Итак, идея такова:
Компьютер 1 получит пакет
ClearOS будет фильтровать пакеты: проверяет, является ли это синхронным флудом / ddos / dos и т. Д.
----> В случае атаки пакеты не будут отправлены на компьютер (2) + IP Banned
-----> Если все в порядке, пакеты будут отправлены на компьютер игровой приставки (2)
В принципе:
Как заставить ClearOS принимать пакеты, отправленные клиентом, а затем проверять их и отправлять на игровую консоль 2 компьютера, чтобы консоль могла получать пакеты и взаимодействовать с клиентом?
Этот вопрос действительно звучит так, как будто он принадлежит суперпользователю, поскольку здесь неясно, пытаетесь ли вы запустить службу или просто защитить свой компьютер / консоль во время игры.
Пока ваша консоль находится за маршрутизатором, который выполняет преобразование NAT во внутреннюю сеть, которая в наши дни составляет почти 100% жилых и офисных сетей, только потоки трафика, инициированные с компьютера / консоли, будут возвращаться на консоль. Если на маршрутизаторе включен UPNP, возможно, будет несколько портов, перенаправляющих трафик на компьютер / консоль.
Чтобы заблокировать источники плохого трафика, вам нужна система предотвращения вторжений (IPS). ClearOS, как и большинство проектов с открытым исходным кодом, реализует это с помощью Snort. Это может сработать, а может и не сработать для вас из коробки, поэтому будьте готовы научиться настраивать и, возможно, писать правила snort. Вы захотите запустить его в режиме, чтобы просто регистрировать события, а не блокировать сначала, пока вы настраиваете все, чтобы избежать ложных срабатываний.
У этого подхода есть ограничения при борьбе с большинством DOS- и DDOS-атак. Если это то, от чего вы пытаетесь защитить себя, вам придется искать в другом месте, так как падение трафика после его насыщения ваше соединение WAN не будет держать вас в сети. Вам также может потребоваться настроить или включить несколько опций в ClearOS, чтобы немного укрепить его для синхронизации флудов, если это вектор атаки, который вы видите. Это означает включение файлов cookie синхронизации, увеличение журнала ожидания синхронизации TCP и сокращение повторных попыток подтверждения, чтобы состояния не оставались в стеке TCP слишком долго. Но эти меры только помогают, и достаточно большой син-флуд все еще может вызвать проблемы.
И в качестве примечания я лично предлагаю использовать pfSense, специально созданный для этого приложения, а не ClearOS. ClearOS пытается быть универсальным решением для малого бизнеса.