IPTABLES для блока синхронизируют лавинную рассылку по udp
Кажется, связан с поиском DNS субдомена.... также кажется, известная проблема. Я настроил домен вместо субдомена и думаю, хорошо работает теперь.
Спасибо и всего наилучшего,
Luc
вам нужно выяснить, почему этот UDP-флуд замедляет вас.
если атака вызывает более высокие пинги, то я бы предположил, что флуд не вызывает проблем на вашем сервере, но что наводнение занимает всю полосу пропускания вашего интернет-соединения. в этом случае правило брандмауэра на сервере не решит эту проблему. вам нужно будет поговорить со своим вышестоящим интернет-провайдером, чтобы он заблокировал этот трафик.
Если ваш брандмауэр еще не настроен таким образом, запрет по умолчанию является более безопасным способом работы. Это означает, что запрещается все, что явно не разрешено. Для iptables это означает:
iptables -P INPUT DROP
Вы также можете сделать это для цепочек OUTPUT и FORWARD, но OUTPUT, в частности, требует немного большей дисциплины в управлении тем, к чему вашему серверу разрешено подключаться.
После запрета всего, вы разрешаете что ты хочешь. Ваша игра прослушивает UDP-трафик на портах 27015 и 27018? Если да, добавьте правила, разрешающие входящий трафик. Всегда ли клиент использует небольшой диапазон исходных портов или даже один исходный порт? Если это так, ограничьте разрешенные пакеты только этими исходными портами. Первый приведенный вами пример с исходным портом 80 в этом случае будет автоматически заблокирован. Другой может зависеть от того, какие исходные порты использует ваш клиент.
Как вы определяете, что правила брандмауэра не работают? tcpdump подключается за пределами брандмауэра и, следовательно, будет видеть пакеты, которые должны быть отброшены (или в исходящем направлении, которые уже прошли брандмауэр). Вы можете использовать правило -j LOG для мониторинга определенных частей ваших цепочек или использовать ведение журнала внутри приложения.
Я не совсем понимаю, что вы имеете в виду под «перегрузкой портов udp». Нужно ли вашему приложению использовать отдельный порт UDP для каждого подключаемого IP-адреса? Есть ли какой-то общий ресурс, который является узким местом? Весь этот UDP-трафик просто заполняет буферы сетевого оборудования, вызывая задержку, связанную с буферизацией? Если последнее верно,