Здравствуйте, temnik, Вы писали:

V>>1. Мой домашний канал в условные 100 мегабит всё равно продавят при нагрузке, я уж не говорю про атаку.
T>Какая связь домашнего канала и iptables на сервере — не понятно.

Я же написал, настройка iptables не поможет от забития канала.

Лень писать что-то снова, Google AI.

iptables — это не «серебряная пуля» против современных DDoS-атак, и вот почему:

1. Ресурсоемкость: При мощной атаке (например, Flood) процессор сервера будет перегружен проверкой каждого входящего пакета еще до того, как iptables успеет его отбросить.
2. Уровень атаки: iptables работает на уровнях L3/L4 (сетевой и транспортный). Он бессилен против атак уровня L7 (Application Layer), которые имитируют поведение реальных пользователей.
3. Канал связи: Если атакующие забьют ваш сетевой канал «мусорным» трафиком, сервер станет недоступен, какими бы правильными ни были ваши настройки фаервола.

Когда iptables все же полезен?

Он эффективен как первичный фильтр для:

1. Ограничения количества соединений с одного IP (connlimit).
2. Базовой защиты от простых SYN-флудов (через synproxy).
3. Блокировки известных «плохих» подсетей по спискам.

Чем защищаться по-настоящему?

Для серьезных проектов лучше использовать специализированные решения:

1. Проксирование: Cloudflare или StormWall принимают удар на себя, пропуская к вам только чистый трафик.
2. Аппаратные решения: Использование фильтров на уровне дата-центра.
3. Анализ поведения: Инструменты вроде fail2ban (в связке с iptables) или модули для Nginx (например, limit_req), которые блокируют аномальную активность на уровне приложения.

T>Так надо просто использовать нормальных хостеров, которые помогут при атаке, а не будут блочить сервер.

Например каких? И ещё какая у них цена?