<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt'>
<p>On 05/09/2015 05:00, Leandro wrote:</p>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0"><!-- html ignored --><!-- head ignored --><!-- meta ignored -->Reindl , I agree with you.<br /> One Firewall should be enough.<br /> So, what you consider this firewall should do ? <br /> In my opinion:<br /> Block requests coming from a blacklist (Who will generate this list ?)<br /> Block denial of service requests. It needs to measure the requests rate to detects when is under attack.<br /> Block port scanners on publics ips.<br /><br /> I dont know what else ....<br /> Thanks.<br /> Leandro.<br /><br /></blockquote>
<p>The only blacklists you should trust are your own, each network is different, our gear in Australia fights off completely different miscreants than our stuff in L.A does which again differs from our stuff in Frankfurt, they rarely see the same miscreants.</p>
<p>My background is ISP and web hosting, that hosting also included game servers so we saw a few DDoS against them, but nothing we couldn't handle. If you are a direct target for such activity you need to consult someone who knows what they are doing if your bandwith cant cope, if you're not a constant target, stop being so bloody paranoid :) </p>
<p><span style="font-size: 12px;">I assume your in the private corporate world, so the best thing is appropriate ACL's on your border router(s), allowing only the sort of traffic you want for server group X of http(s) ports to web servers, only p 53 to your DNS servers, layer7 policies are a bit overkill in my opinion, so just use ports, if you do need such, then you need to consult a network specialist, the bind users group is hardly the place, but there is a person on this list who specialise in anti DoS and he might pop his head up.</span></p>
<p><span style="font-size: 12px;">In general iptables works a treat for X queries in X time, also </span><span style="font-size: 12px;">fail2ban works wonders to block those that persist if your servers are *nix based, dont have a single M$ product so no idea what you should use on them.</span></p>
<p>and use modern version of bind and RRL.</p>
<p> </p>
</body></html>