Доброго времени суток Уважаемые!
Столкнулись с проблемой ddos на сервер, поставили DFL-210, настроили по инструкции d-link,
1) подскажите как запретить разом несколько сетей по первым маскам?

По идее это от DDos не спасает, если запросами забивается весь ваш канал.

А запретить доступ с определенных внешних адресов можно так:

Drop wan <группа сетей> core wan_ip all_services

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

спасибо сейчас это попробуем, у нас там пока проскакивают сети с одинаковыми первыми масками, хотя бы их перекрыть, а диапозон как в группу сетей вписать?
Извините за тупые вопросы, я просто очень хорошо понимаю как там писать правила, и смотрю все через веб интерфейс.
Канал в принципе не забиваеться, долбят по 80 порту, на остальных все в принципе работает
а есть ли какое решение проблемы ддоса через DFL-210 ?
и если можно с примерами.

Насчет борьбы с DDos средствами DFL не подскажу, не прижимало. Лучше почитать руководство. В частности главу "6.6. Denial-of-Service Attack Prevention"

Насчет запрета доступа по http с конкретных сетей, что именно вызывает трудности?

Указанное выше правило надо ставить выше правил проброса портов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

инструкцию, сейчас читаю.
а касаемо правил, прописываем запрет например 41.0.0.0/24, подразумевая блок всех запретов с 41 сети, все равно пропускает

------
идет множество коннектов под флагом ZOMBIE, не подскажите правило которое будет их убивать сразу?

Если вы хотите блокировать все адреса 41.x.x.x то подсеть надо писать как 41.0.0.0/8


Не знаю. Как этьо выглядит в логах. Показать можете? Через radikal.ru в читаемом виде.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

скрин пока не получается сделать, как открываем порт сразу зависает дфл
выяснили, что те кто атакует пользуется списком прокси под тор сеть, не подскажите есть ли вариант например как то автоматически добавлять прокси в бан? или правила проверки айпи, которое определял если прокси то в бан сразу

Сомневаюсь, что DFL это может. Можно обратиться по телефону в московскую поддержку, чтобы выяснить. Как я понимаю, вопрос горит. И лучше быстрее выяснить - да или нет. И не тратить время на то, в чем DFL, возможно, помочь не сможет.

Как вы будете определять какой IP банить, а какой - нет?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

спасибо за совет, с утра сяду на телефон,потом сюда поведую все.
а насчет банить, перекрываем почти все подсети, которые очень активно подключаются и айпи из регионов которые явно зайти не могут, но и тут засада это нужно каждый айпи проверять, и вписывать руками

Что за сервис у вас блокируют?

может, хотя бы временно запретить доступ всем снаружи, кроме группы разрешенных, доверенных IP?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

у нас сайты общего пользования,
да вот сейчас закрываем все внешние, оставляем только администраторов, будем маршруты переписывать

Ну в общем проблема решилась путем перехода на 860 E, спасибо всем кто участвовал =)

Чем именно DFL-860E оказался хорош для решения вашей проблемы? Это может быть полезно не только вам.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Как вариант, возможно используется лимит по новым подключениям или какие то функции ZoneDefence
Хотя точные критерии выбора тоже интересны

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ИМХО от нормального ботнета это всеравно не спасет.