Назад | Перейти на главную страницу

Связывание 2 компьютеров с ClearOS, фильтрация пакетов / проверка на любой вид атаки, а затем отправка на компьютер2

Я собираюсь купить два компьютера, для которых собираюсь использовать их:

Компьютер (1). Прием и фильтрация пакетов. (на компьютере две сетевые платы) .CLEAROS

Компьютер (2). Игровой сервер для приема пакетов. (одна сетевая плата) .Windows7

Компьютер (1) wan-порты:

Вот как все работает, используя только 1 компьютер для игрового сервера:

S.P = Send packets 
 Client <------S.P-------------> |server's firewall| <-------> Server

Но я хочу использовать два компьютера и фильтры. Вот так будет подключение:

P.S = Packets sending
W.N = Won't Reach

 Client ------P.S---->Computer(1)+ClearOS checking(if the client is flooding server ) ----W.N------/------> Computer(2)--->client
else
 Client -----P.S----->Computer(1)+ClearOS checking(if the client is NOT flooding server ) -----> Computer(2)----->client

Итак, идея такова:

  1. Компьютер 1 получит пакет

  2. ClearOS будет фильтровать пакеты: проверяет, является ли это синхронным флудом / ddos ​​/ dos и т. Д.

  3. ----> В случае атаки пакеты не будут отправлены на компьютер (2) + IP Banned

    -----> Если все в порядке, пакеты будут отправлены на компьютер игровой приставки (2)

    В принципе:

    Как заставить ClearOS принимать пакеты, отправленные клиентом, а затем проверять их и отправлять на игровую консоль 2 компьютера, чтобы консоль могла получать пакеты и взаимодействовать с клиентом?

Этот вопрос действительно звучит так, как будто он принадлежит суперпользователю, поскольку здесь неясно, пытаетесь ли вы запустить службу или просто защитить свой компьютер / консоль во время игры.

Пока ваша консоль находится за маршрутизатором, который выполняет преобразование NAT во внутреннюю сеть, которая в наши дни составляет почти 100% жилых и офисных сетей, только потоки трафика, инициированные с компьютера / консоли, будут возвращаться на консоль. Если на маршрутизаторе включен UPNP, возможно, будет несколько портов, перенаправляющих трафик на компьютер / консоль.

Чтобы заблокировать источники плохого трафика, вам нужна система предотвращения вторжений (IPS). ClearOS, как и большинство проектов с открытым исходным кодом, реализует это с помощью Snort. Это может сработать, а может и не сработать для вас из коробки, поэтому будьте готовы научиться настраивать и, возможно, писать правила snort. Вы захотите запустить его в режиме, чтобы просто регистрировать события, а не блокировать сначала, пока вы настраиваете все, чтобы избежать ложных срабатываний.

У этого подхода есть ограничения при борьбе с большинством DOS- и DDOS-атак. Если это то, от чего вы пытаетесь защитить себя, вам придется искать в другом месте, так как падение трафика после его насыщения ваше соединение WAN не будет держать вас в сети. Вам также может потребоваться настроить или включить несколько опций в ClearOS, чтобы немного укрепить его для синхронизации флудов, если это вектор атаки, который вы видите. Это означает включение файлов cookie синхронизации, увеличение журнала ожидания синхронизации TCP и сокращение повторных попыток подтверждения, чтобы состояния не оставались в стеке TCP слишком долго. Но эти меры только помогают, и достаточно большой син-флуд все еще может вызвать проблемы.

И в качестве примечания я лично предлагаю использовать pfSense, специально созданный для этого приложения, а не ClearOS. ClearOS пытается быть универсальным решением для малого бизнеса.