IPtables Problem

[benj1996]

Hallo,

Ich versuche seit einiger Zeit vergebens mittels IPTables einen Root Server mit Minecraft zu schützen. Plan ist dass der Spieler sich mit einem Server verbindet und sich der Server dann mit dem Haupt Server verbindet. Der Sinn dabei ist, dass im Falle von einem D/DoS Angriff nur der zwischenserver lahmgelegt wird, aber nicht der Haupt Server. Mit IPTables funktioniert das zwar, aber nicht sehr zuverlässig. Oft bricht alles ab und nichts mehr geht und einen Moment später geht alles wieder etc.

Benjamin

[M. Linux]

Ohne genauereren Informationen über die bestehende Konfiguration und das genaue Ziel deiner Massnahmen, kann dir hier nicht geholfen werden...

[Xhentyr]

Ich denke das es sowiso keinen Sinn macht, da wenn jemand gezielt deinen Server abschmieren lassen will, er zwar erst die Verbindung zu deinem "Umleitungsserver" aufbaut aber danach sich mit dem MC-Server verbindet, was dem Angreifer das die echte Server ip gibt und er dann diesen lahm legen kann..
Du müsstest also den gesamten traffic über den "Umleitungsserver" leiten. Falls du das möchtest schau dir mal an wie Proxy-Server funktionieren.
LG Xhentyr

[Cae]

Ich denke das es sowiso keinen Sinn macht, da wenn jemand gezielt deinen Server abschmieren lassen will, er zwar erst die Verbindung zu deinem "Umleitungsserver" aufbaut aber danach sich mit dem MC-Server verbindet, was dem Angreifer das die echte Server ip gibt und er dann diesen lahm legen kann..

Falls der "Zwischenserver" DNATtet, wird auf IP-Ebene eben nicht erkennbar, dass diese Bridge nicht das endgueltige Ziel ist. Setzt natuerlich voraus, dass das Minecraft-Protokoll den wahren Host nicht mit uebertraegt.

Gruss Cae

[Xhentyr]

Ich werd mal schaun was die MC-Serverprotokolle so beinhalten, falls die den echten Host mit übertragen ist das aber auch keine große Sache die minecraft_server.jar (mitlerweile zip) so zu Modifizieren das die echte ip nicht weiter sichtbar ist
@benj1996 : kannst du vielleicht mal nen auszug aus den iptables posten (nur die Inhalte die für die Umleitung zuständig sind nicht das jemand deine iptables + Schwachstellen kennt), dann könnte ich das ganze mal nachbauen und nach einer lösung überprüfen.

[benj1996]

Hallo,

Ja klar. Hab das relativ einfach per IPTables gelöst. Wichtig wäre jedoch dass das ganze erstmal richtig funktioniert da momentan die IP von dem Root Server in der Domain steht und Angreifer direkt den Root Server Angreifen können welcher dann nach kurzer Zeit down geschaltet wird.

-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 25565 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25565 -j DNAT --to-destination x.x.x.x:25565
-A POSTROUTING -j MASQUERADE

Vielen Dank

Benjamin

EDIT: Das man sowas mit Proxy machen kann hörte ich auch schon. Gibt es irgendwo dazu mehr Infos? Hab dazu nichts schlaues gefunden...

[Xhentyr]

Hi,
ich bin noch nicht weit gekommen mit dem Nachbau und der Analyse der Datenpakete (Analyse steht sowiso an zweiter stelle da das ganze ja erstmal funzen muss).
Aber mir kam eine Idee mach in den iptables das ganze auch für udp da minecraft manchmal beides braucht.
LG Xhentyr

[Cae]

Zu der iptables-Sache ist anzumerken, dass --to-destination keinen Zielport braucht, wenn er sich nicht veraendert (25565 ist in beiden Faellen gleich).

Das man sowas mit Proxy machen kann hörte ich auch schon. Gibt es irgendwo dazu mehr Infos? Hab dazu nichts schlaues gefunden...

Proxy bedeutet, dass ein Programm das Protokoll der Software verstehen kann. Also wird er vom Hersteller vertrieben werden oder es gibt keinen Proxy. (Ich gehe davon aus, dass Minecraft nicht quelloffen ist.)

Gruss Cae

[Xhentyr]

@cae Minecraft ist schon länger inoffiziell Codeoffen http://mcp.ocean-labs.de/index.php/MCP_Releases - Damit kannst du es decompilieren ansonsten ist ja grade Workbench in Arbeit mit der Minecraft Offiziell Codeoffen wird: https://github.com/Mojang/Minecraft-API

LG Xhentyr

[benj1996]

Hallo,

Ich werde sonst mal versuchen dass mit der destination rauszunehmen. Vielleicht bringt das noch was.


Benjamin