TeamSpeak TS3Init Linux Netfilter Module - Anti-(D)DoS Netfilter

  • Ich hab mir das Modul mal etwas angesehen und habe einige Bedenken. Also grundsätzlich ist das ein wirklich mächtiges Modul das vor allem flood Angriffe mit gefakten Headern super gut anfangen kann allerdings hätte ein minimales falsch konfigurieren zur Folge das die Verbindung einfach rejected wird. Der User würde gar nichts bekommen keinen Fehler sondern bloß ein no route to host.


    Vorallem bei iptables -m ts3init_get_cookie --min-cookie xyz sehe ich das Problem. Es ist 1a in dem was es machen soll. Allerdings is die hauseigene Art von Teamspeak da deutlich besser da der Client eine Antwort bekommt Client Version ist zu niedrig.


    Aufgrund von meinem Hoster Netcup (ganz richtig schamlose Werbung :thumbup: ) der flood Angriffe mit einem Riegel beendet, ist dies allerdings etwas das ich mir definitiv anschauen werde. Ich bin noch nicht so ganz durch mit den Konfigurationsmöglichkeiten und welche Teile essentiell sind und welche zur Wahl stehen.
    Ansonsten wäre ich für:

    Code
    iptables -m ts3init_get_cookie --check-time 60
    iptables -m ts3init_get_puzzle --check-cookie
    iptables -m ts3init_get_puzzle --random-seed /dev/random
    iptables -m ts3init --client
    iptables -j TS3INIT_SET_COOKIE --random-seed /dev/random