IPTables i dostęp z pliku.

Witam wszystkich.
Chciałem się poradzić jak można zrobić w iptables regułki do wpuszczania klientów z poszczególnych IP albo MAC.
Jak adresy były by stałe to bym sobie poradził, ale chodzi mi o IP czy MAC wczytywane z pliku, do którego pare
razy dziennie były by dopisywane następne adresy czy usuwane stare, nieużywane..
Nie mam pojęcia jak się za to zabrać. Najlepiej było by sprawdzać przy połączeniu klienta czy znajduje się
na liście dopuszczalnych, lecz przy ciagłym ruchu na poziomie 10 połączeń na minute mogłoby to
pożądnie obciążyć maszynę. Ewentualnie przeladowywać regułki, tylko czy to zda egzamin przy
przeładowaniach co 1, 2, 5 czy w ostateczności 15 minutach? Sam już nie wiem..
Jak ktoś ma jakiś ciekawy pomysł to proszę o poradę, mile widziany był by jakiś kodzik, ale nie koniecznie.
Pozdrawiam i liczę na waszą kreatywność,

• Tony :)

10 połączeń na minutę? Toż to grosze. Zależnie od długości listy dopuszczalnych możesz sprawdzać je z pliku lub trzymać w bazie danych. Ja bym był za zmodyfikowaniem kodu serwera tak, by sprawdzał co trzeba, albo np. postawienia proxy pisanego w nodejs.

Na upartego niby możesz zarządzać tymi regułkami, przeładowania nie są kosztowne, ale imho najoptymalniejszy pomysł to to nie jest.

Dzieki ze napisales :)
Dokladniej to chodzi mi o Anty D(D)oSa pod serwer gry online.
Chciałbym żeby iptables blokowal wszystkich poza IP ktore beda
zapisane w pliku, dokladniej to moj serwer antycheata je tam dopisze
w chwili odpalenia gry.
Oczywiscie nie mam scr serwera gry, wiec zadne jej modyfikacje
nie wchodza w gre.
Masz jeszcze jakies ciekawe rozwiazania?
Pozdrawiam.

Pewien sieciowiec kiedyś założył się ze mną, że wyłoży mi sieć domową leżącą za NATem, chronioną firewallem u ISP przy pomocy jednego dedyka z typowym interfejsem 100Mbps. Przegrałem. Zawsze jest pewna granica masy, po której przekroczeniu fakt posiadania firewalli i innych rozwiązań software-owych staje się tylko ciekawostką. Gra niewarta świeczki. Nieudolny atakujący nie poradzi sobie z położeniem maszyny na łopatki, odpowiednio skoordynowany atak wyłoży serwerownię sejmu i połowę routerów ABW po drodze.

Niby tak, ale przypuszczam że nie będą mnie atakować ludzie
z Anonymous czy LulzSec, tylko dzieci które naczytały się
releasów i korzystają z darmowych programów
które znalazły na Torze ;)
Więc mój pomysł wcale nie jest taki głupi,
tylko nie wiem jak się za niego zabrać :P

Typowe zabezpieczenia przed DDoSem realizuje się patrząc globalnie, nie wycinając konkretne IPki. Częstą praktyką jest tworzenie reguł opartych o ticki, jeśli w określonym czasie przeleci niepokojąca ilość pakietów to firewall sam zakręci danej osobie kurek od internetu. Są też inne popularne metody. http://bit.ly/KfWVE6

Anonymous czy LulzSec to najczęściej bandy wykorzystujące właśnie "socjobotnety" - masy dzieciaków ulegających ich propagandzie i świadomie odpalających toole do DDoSowania, bo jak dobrze być hakierem...

I znowu masz rację, ale chciałem to dodatkowo wykorzystać jeszcze jako uzupełnienie antycheata, a co za tym idzie, bez jego podpalenia nie doda ip/mac do pliku więc i gracz się nie dostanie na serwer :-P