Шлюз на Debian

mixaskin · 12 марта 2021, 12:16:19

Здравствуйте друзья! Прошу обсудить вопрос, уверен, он будет полезен всем.
Иногда бывает так, что кто-то что-то качает и забивает сетевой канал.
Обычно в таких случаях мы идем вычислять кто это, находим и дропаем/лимитим, общаемся.
Надо действовать наоборот - сначала дропать а потом разбираться кто это был и идти общаться.
Вопрос, как нам дропать/блочить конекшн автоматически при детекте аномального трафика.

gardarea51 · 12 марта 2021, 12:48:27

У меня мысли только в сторону повышенного pps от какого-то хоста.
Еще вы можете разрешить исходящий трафик только на нужные вам сервисы: типа http/80, https/443, udp/53... всякие там 1С, все чем пользуется организация.
Остальное - дропать.
Ну и конечно же прикручивать шейпер.

ps: однако в качестве шлюза вам бы все-таки не дебиан, а нормальный микротик.

mixaskin · 12 марта 2021, 14:14:25

Цитата: gardarea51 от 12 марта 2021, 12:48:27У меня мысли только в сторону повышенного pps от какого-то хоста.

Имеете в виду что-то типа такого?
-A FORWARD -o eth0 -s 31.130.207.18 -m limit --limit 1000/sec -j ACCEPT
-A FORWARD -o eth0 -s 31.130.207.18 -j DROP
До 1000 пакетов в секунду пропускаем, дальше дропаем? У нас 2 канала и около 300 ПК. Интересно сделать правило сразу для всех.

gardarea51 · 12 марта 2021, 14:39:19

Вам средний нормальный pps сначала надо бы опытным путем вычислить и потом, уже исходя из "нормального" значения, дальше пробовать.
И я имел в виду pps того трафика, который идет на ПК в вашей сети.

TheBigSnake · 17 марта 2021, 11:06:52

Качает от куда ? из внешки или по локалке ?

Вообще каждой машине зарезать канал на 50% и никто не захватит весь канал.
И торенты запретить.

mixaskin · 17 марта 2021, 11:50:51

Цитата: TheBigSnake от 17 марта 2021, 11:06:52
Качает от куда ? из внешки или по локалке ?

Вообще каждой машине зарезать канал на 50% и никто не захватит весь канал.
И торенты запретить.

было бы неплохо создать общее правило, которое давало бы каждому пользователю право использования максимум 50% канала, как внешнего так и локального. есть идеи как его прописать на шлюзе Debian?

TheBigSnake · 17 марта 2021, 13:02:12

Насколько я знаю, общего правила не бывает. средствами огнестенки можно поставить ограничение на прохождение траффика по каждому IP или по подсеткам

gardarea51 · 18 марта 2021, 11:49:52

Шейпер, на той же дисциплине htb.