链接2台电脑与ClearOS,过滤数据包/检查任何types的攻击,然后发送到Computer2

我要买两台电脑,我打算用它们来做:

计算机(1)。接收和过滤数据包。 (电脑有两块网板).CLEAROS

计算机(2)。用于接收数据包的游戏服务器。 (一个networking板).Windows7

电脑(1)wan ports:

  • 端口1:提供商的networking连接电缆。
  • 端口2:连接到计算机的网线(2)。

通过使用游戏服务器只有一台电脑这是事情的工作原理:

SP = Send packets Client <------SP-------------> |server's firewall| <-------> Server 

但是我想用两台电脑并使用filter。 这是如何连接:

 PS = Packets sending WN = Won't Reach Client ------PS---->Computer(1)+ClearOS checking(if the client is flooding server ) ----WN------/------> Computer(2)--->client else Client -----PS----->Computer(1)+ClearOS checking(if the client is NOT flooding server ) -----> Computer(2)----->client 

所以,这个想法是:

  1. 计算机1将收到数据包

  2. ClearOS将过滤数据包:检查是否是syn flood / ddos​​ / dos等。

  3. —->如果有攻击,数据包将不会被发送到计算机(2)+ IP禁止

    —–>如果一切正常,数据包将被发送到游戏机Computer(2)

    基本上:

    如何使ClearOS接收客户端发送的数据包,然后检查并发送到计算机的2个游戏控制台,以便控制台可以接收数据包并与客户端交互?

这个问题听起来像是属于超级用户的东西,因为在这里不清楚,如果你正在尝试运行一个服务,或只是在游戏时保护你的电脑/控制台。

只要您的控制台位于NAT内部networking的路由器之后(目前几乎是住宅和办公室networking的100%),那么只有从计算机/控制台启动的stream量才能返回到控制台。 如果在路由器上启用了UPNP,则有可能会有几个端口将stream量转发到计算机/控制台。

要阻止不良stream量来源,您要查找的是IPS(入侵防御系统)。 像大多数开源项目一样,ClearOS使用Snort来实现这一点。 这可能会或可能不会为你工作,所以准备学习如何调整和可能编写snort规则。 你需要在一个模式下运行它,只需要logging事件,而不是一开始就阻止,而你设置的东西,以避免误报。

在处理大多数DOS和DDOS攻击时,这种方法是有限的。 如果这就是你想要保护自己,你不得不看看,如果stream量下降,饱和后你的广域网链路不会让你上网。 您可能还需要在ClearOS中调整或启用一些选项,以加强它,以便在发生攻击时发现洪水。 这意味着启用syn cookie,增加tcp syn backlog,以及减less确认重试,以使状态不会长时间坐在tcp堆栈上。 但是这些措施只会有所帮助,而且足够大的合成洪水仍然会造成问题。

作为一个便笺,我个人build议使用pfSense,这是为这个应用程序而非ClearOS而devise的。 ClearOS试图成为一种小型企业解决scheme。