A
alive
Guest
Hallo liebe Community,
ich habe ein paar Fragen zu Umsetzung der folgenden Konfiguration mit FreeBSD.
- 2 öffentliche IP Adressen
- mehrere Jails mit verschiedenen Diensten
Ich habe nun ein Jail zum testen eingerichtet.
Die IP des Jails 10.0.0.1 ist auf einem Pseudointerface "lo1" eingerichtet.
Die WAN IP 1 nennen wir mal 212.1.1.1.
Bis jetzt habe ich fürs nat den traffic mit ipfw auf natd umgeleitet. Nur habe ich jetzt gelesen, dass man das kernel-interne nat benutzen soll. Habe dazu leider auf die schnelle keine Doku gefunden. Hat jemand nen Link dazu und ein paar Beispiele für einfaches weiterleiten eines Ports von der WAN-IP auf einen Port der Jail-IP mit ipfw?
Da wir auch öfter Probleme mit ddos haben, wäre es gut zu wissen ob man an die Portforwardingregeln auch noch limits anhängen kann. z.B. maximal x connections oder x connections pro x sekunden. Eventuell habt ihr auch noch andere Tipps zum blocken. Es geht hauptsächlich um Synfloods auf Port 80. Andere ddos Angriffe auf andere Ports sind aber auch möglich.
Vielen Dank schonmal.
alive
ich habe ein paar Fragen zu Umsetzung der folgenden Konfiguration mit FreeBSD.
- 2 öffentliche IP Adressen
- mehrere Jails mit verschiedenen Diensten
Ich habe nun ein Jail zum testen eingerichtet.
Die IP des Jails 10.0.0.1 ist auf einem Pseudointerface "lo1" eingerichtet.
Die WAN IP 1 nennen wir mal 212.1.1.1.
Bis jetzt habe ich fürs nat den traffic mit ipfw auf natd umgeleitet. Nur habe ich jetzt gelesen, dass man das kernel-interne nat benutzen soll. Habe dazu leider auf die schnelle keine Doku gefunden. Hat jemand nen Link dazu und ein paar Beispiele für einfaches weiterleiten eines Ports von der WAN-IP auf einen Port der Jail-IP mit ipfw?
Da wir auch öfter Probleme mit ddos haben, wäre es gut zu wissen ob man an die Portforwardingregeln auch noch limits anhängen kann. z.B. maximal x connections oder x connections pro x sekunden. Eventuell habt ihr auch noch andere Tipps zum blocken. Es geht hauptsächlich um Synfloods auf Port 80. Andere ddos Angriffe auf andere Ports sind aber auch möglich.
Vielen Dank schonmal.
alive
