Bei aktivem DDoS-Schutz können einige Protokolle rate-limited oder ganz gefiltert werden.
Bitte prüfen Sie dieses Dokument um einen Problemlosen Betrieb Ihrer Dienste sicherzustellen.
Aktuell stellen wir verschiedene Stufen von Schutz bereit:
Wir behalten uns die Option offen, den Typ eines Subnetzes jederzeit den gegebenen Umständen
anzupassen.
Aktuell gibt es keinen Schutz für Layer7 http/s Floods.
Weiters ist es möglich bspw. häufig angegriffene IPs auf permanenten SmartMitigate-Schutz zu schieben. Hierbei handelt es sich um eine eigenentwickelte Lösung von as203446. Diese erzwingt eine TCP/UDP Authentifizierung.
Falls SmartMitigate nicht aktiv ist können TCP-Anwendungen TCP-Resets/Neuverbindungen erfordern. SmartMitigate kann für IP-Transit-Kunden per BGP-Community (207252:100:50, le32) oder via Ticket aktiviert werden (cp.rltx.net-Option folgt).
Folgende Portranges nur für die beschriebenen Anwendungen laufen lassen. Sonst wird entweder die Mitigation nicht funktionieren oder der Traffic ganz verworfen.
| Prot | Port | Anwendung |
|---|---|---|
| UDP | 30000-32000 | FiveM |
| TCP | 30000-32000 | FiveM |
| UDP | 9000-9999 | TeamSpeak 3 |
| UDP | 27000-28000 | SourceEngine Gameserver |
| UDP | 19100-19200 | Minecraft Bedrock |
| UDP | 25565-26000 | Minecraft Java |
| UDP | 8200-8300 | Palworld |
| UDP | 7100-7200 | SCP: Secret Laboratory |
| UDP | 1194-1294 | OpenVPN |
| UDP | 51820-51920 | WireGuard |
| TCP | 22 | SSH |
Mailcow hat standardmäßig einen eigenen DNS-Resolver (unbound) der alle DNS-Requests selbst auflösen will. Dies ist aufgrund der oben genannten DNS-Limits nicht möglich, daher muss hier ein freigeschaltener Resolver genutzt werden.
cd /opt/mailcow-dockerized
echo "forward-zone:
name: "."
forward-addr: 1.1.1.1
forward-addr: 1.0.0.1" >> data/conf/unbound/unbound.conf
docker compose restart unbound-mailcow