We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Sinn oder Unsinn? UDP-Pakete generell droppen?


akl
22.10.08, 09:40
Najut, ich denke damit hat sich das erledigt Wie immer wenn man versucht besonders schlau zu sein, andere waren/sind bereits schlauer ...

Gruß
Andi

sledge0303
22.10.08, 09:06
absoluter Schmarrn diese Intension. Du kannst das eine oder andere vom Kasten evtl. fernhalten, kannst dich aber selbst schnell ausbremsen!

J-B
21.10.08, 21:20
Kannst du seperat freigeben, aber was bringt das was du da machst?

Derjenige der dein Server hackt, wird es wohl hinbekommen ein iptables -F einzugeben. Und wenn du eine DDoS erhälst, dann kommen die Pakete eh an bis zu deiner Netzwerkkarte.

OVH ist es nämlich scheiss egal was mit deinem Server passiert aber wenn der Traffic durch die Router läuft, dann macht OVH schnell zu.

akl
21.10.08, 12:35
Zitat Zitat von kro
Mal abgesehen von der Frage nach Sinn/Unsinn einer solchen "Lösung" - vergiss DNS nicht! (53/UDP)
Aaaah, jau. DNS hab ich tatsächlich vergessen ...

Felix
21.10.08, 12:34
Zitat Zitat von akl
Oder anders herum gefragt? Welche Dienste würden UDP überhaupt benötigen? Ich habe bislang "nur" GameServer gefunden die auf UDP-Ports zurückgreifen.
Mal abgesehen von der Frage nach Sinn/Unsinn einer solchen "Lösung" - vergiss DNS nicht! (53/UDP)

akl
21.10.08, 12:27
Hallo zusammen,

Im Zusammenhang mit der Diskussion um Incoming-/Outgoing (D)DoS im RootServer-Channel habe ich mir meine Konfigurationen nochmals angeschaut. Dabei tauchte die Frage auf, inwieweit auf einem Dedizierten Server (mit "normalen" Diensten wie Web, Mail, evtl. virtualisiert) UDP-Pakete überhaupt eine Rolle spielen (oder was zu suchen haben), bzw. ob man die durch ein simples
iptables -A OUTPUT -p udp -j DROP
nicht alle (ausgehenden) UDP-Pakete generell verbieten sollte?
So würde man evtl. schonmal verhindern das von der eigenen Maschine überhaupt (per UDP) ge-(D)DoS-d werden kann, oder?
*grübel* Naja, so halb, denn wer auf meiner Maschine Root-Rechte hätte könnte auch IPTables anpassen, aber auf einem Host für virtuelle Maschinen könnte das greifen...

Oder anders herum gefragt? Welche Dienste würden UDP überhaupt benötigen? Ich habe bislang "nur" GameServer gefunden die auf UDP-Ports zurückgreifen.

Ich hoffe die Frage ist nicht allzu blöde, und an der richtigen Stelle gestellt. Falls doch/nicht, haut mich und verschiebt den Thread

Gruß
Andi