我打算购买两台计算机,它们的用途如下:
计算机(1)。接收和过滤数据包。(该电脑有两个网卡)。CLEAROS
电脑(2).游戏服务器接收数据包。(一块网卡).Windows7
计算机 (1) WAN 端口:
- 端口1:提供商的网络连接线。
- 端口2:连接到计算机(2)的网线。
仅使用 1 台计算机作为游戏服务器,其工作原理如下:
S.P = Send packets
Client <------S.P-------------> |server's firewall| <-------> Server
但我想使用两台计算机并使用过滤器。连接方式如下:
P.S = Packets sending
W.N = Won't Reach
Client ------P.S---->Computer(1)+ClearOS checking(if the client is flooding server ) ----W.N------/------> Computer(2)--->client
else
Client -----P.S----->Computer(1)+ClearOS checking(if the client is NOT flooding server ) -----> Computer(2)----->client
因此,我们的想法是:
计算机 1 将接收数据包
ClearOS 将过滤数据包:检查是否为 syn flood/ddos/dos 等。
---->如果发生攻击,数据包将不会被发送到计算机(2)+ IP 被禁止
----->如果一切正常,数据包将被发送到游戏机计算机(2)
基本上:
如何让ClearOS接收客户端发来的数据包然后检查并发送给电脑的2个游戏主机,以便游戏主机能够接收数据包并与客户端进行交互?
答案1
这个问题听起来确实像是超级用户应该问的问题,因为这里并不清楚您是想运行服务还是只是在玩游戏时保护您的电脑/控制台。
只要您的控制台位于对内部网络进行 NAT 的路由器后面(目前这几乎是 100% 的住宅和办公网络),那么只有从计算机/控制台发起的流量才能返回到控制台。如果路由器上启用了 UPNP,那么可能会有几个端口将流量转发到计算机/控制台。
要阻止不良流量源,您需要的是 IPS(入侵防御系统)。与大多数开源项目一样,ClearOS 使用 Snort 实现此功能。开箱即用,也可能不适用,因此请准备好学习如何调整并可能编写 Snort 规则。您需要在设置过程中以仅记录事件而不是阻止的模式运行它,以避免误报。
这种方法在处理大多数 DOS 和 DDOS 攻击时存在局限性。如果您试图保护自己免受此类攻击,则必须另寻他路,因为在 WAN 链路饱和后丢弃流量不会让您保持在线状态。如果您发现这是攻击媒介,您可能还需要调整或启用 ClearOS 中的几个选项以稍微加强对 syn 洪水的防御。这意味着启用 syn cookies、增加 tcp syn 积压并减少 ack 重试,以便状态不会在 tcp 堆栈中停留太久。但这些措施只能起到帮助作用,足够大的 syn 洪水仍然会导致问题。
另外,我个人建议使用专为此类应用而构建的 pfSense,而不是 ClearOS。ClearOS 试图成为一款适用于小型企业的万能解决方案。