Прохождение пакетов и другое…
-
Спасибо, попробую, будем надеяться что эти правила отработают раньше чем Суриката за дело возьмётся :)
И да, IP по странам я и так уже блокирую, с помощью PFblokerNG, но Суриката всё равно проверяет все эти пакеты до того как они будут отброшены.p.s.
Посмотрел, эти параметры,
net.inet.udp.blackhole=1 # drop udp packets destined for closed sockets (default 0)
net.inet.tcp.blackhole=2 # drop tcp packets destined for closed ports (default 0)
у меня они уже стоят, так что получается Суриката раньше их отрабатывает :'(. -
Доброго.
Откл. на время сурикату. Оставьте только блокирование по странам. Понаблюдайте. -
Простите, а что я должен увидеть, то что будут блокироваться пакеты идущие на не открытый порт, так я это и так уже вижу в логах Firewall, хоть с Сурикатой хоть без, просто Суриката некоторые из этих пакетов сама блокирует, в частности в той DDOS атаке она некоторые IP блокировала как взятые из списка Spamhouse (если не ошибаюсь конечно).
-
Я к тому, что, возможно, нагрузка из-за ДДОС снизится без сурикаты. Вот это проверьте.
-
Аааа, ясно, просто сами ддос атаки происходят не так часто, может придётся ждать несколько дней, если не недель…
-
можно ли узнать как точно ходят пакеты в Pfsense, на каком этапе их перехватывает Suricata
https://forum.pfsense.org/index.php?topic=123011.msg683033#msg683033
-
Спасибо, мне уже ответили в английской ветке форума что Суриката читает данные прям с драйвера и соответственно ничего перед ней для блокировки трафика нельзя вставить (на данный момент по крайней мере).
Теперь вот пытаюсь выяснить можно ли Сурикату настроить так чтобы каждый из каналов обрабатывался только определёнными ядрами процессора, чтобы всегда были свободные мощности процессора, вроде как в доках такое можно, но как не настраивал не получается… -
-
Ну чтож, сегодня ддосили, при использовании Сурикаты загрузка процессора 100%, как только отключил Сурикаты на этом канале загрузка стала менее чем 50%, так что Суриката при ддос атаках на обычных процессорах только вредит…
Кстати не понял, при ддос атаке в логах фаервола появилось куча записей такого типа:
WAN1 block bogon IPv4 networks from WAN2 (11000) 45.14.201.134:31100 IP-WAN1:27192 UDP
то есть входит трафик на WAN1 с IP 45.14.201.134 и порта 31100, идёт соответственно на IP-WAN1 и порт 27192, протокол UDP, но почему написано что блокируется bogon трафик с WAN2, я смотрел, не было левого трафика на WAN2, ддосили только WAN1?!
-
Покажите настройки fw, NAT etc.
-
Вы хотите глянуть Nat-Port Forward и Firewall-Rules, там довольно много всего, у меня же multiwan, а значит два канала ?!
-
На WAN-ах блокирование bogon net вкл ?
-
