home iconHome / tezos / Come proteggere il nodo di cottura da attacchi come DDOS?

Come proteggere il nodo di cottura da attacchi come DDOS?

    • vote up icon 19 vote down icon
    • translation icon
    • view icon373 calendar icon2019-01-31

    Voglio sapere qualiportee protocolli utilizzanotezos-nodee bakerin modo dapoter abilitare solo quelleportee protocollinelleimpostazioni delmiofirewallperprevenire qualsiasi attacco DDos sulmio server.

    node setup baking-node

3  risposta

  • voti
    • accept answer icon
    • translation icon
    • calendar icon 2019-01-31
    • 9732 è laportapredefinitaper le connessioni P2P,puòessere sovrascritta con --net-addr=ADDR: PORT all'avvio delnodo
    • 8732 è laportapredefinitaper le connessioni RPC,puòessere sovrascritta con --rpc-addr=ADDR:PORT
    • Tutte le reti utilizzano TCP.

    Se si utilizza iptables le regole seguenti dovrebberoessere sufficientipertezosin particolare.

    Tienipresente che dovrai consentire altri servizi di retenontezos come DNS,NTP,DHCP a seconda dellatua configurazione. 

      # Consenti RPC Tezos
iptables -A INPUT -ptcp --dport 8732 -m conntrack --ctstate NUOVO,COSTITUITO -j ACCETTO
iptables -A OUTPUT -ptcp --sport 8732 -m conntrack --ctstate ESTABLISHED -j ACCETTA

# Consenti le connessioni Tezos P2P
iptables -A INPUT -ptcp --dport 9732 -m conntrack --ctstate NUOVO,COSTITUITO -j ACCETTO
iptables -A OUTPUT -ptcp --dport 9732 -m conntrack --ctstate NUOVO,COSTITUITO -j ACCETTO
iptables -A OUTPUT -ptcp --sport 9732 -m conntrack --ctstate ESTABLISHED -j ACCETTA
    • Ma chiudere leporteinutilizzatenon salvaguarderà unpanettiere da un DDOS,vero?Ilmodo standardperfarlo ènascondere unbaker (nella configurazione delnodoprivato) dietro unnumero dinodipubblici.Ciò significa che unpanettierenonpuòesserepreso dimira direttamentee inodipubblicipossonoessere scambiati se c'è un DDOS attivo.
    • Hai ragione,immagino che l'OP abbiaeffettivamente 2 domande a cui rispondere: una su DDOSe una suporte Tezos.La questione dovrebbeessere divisain due di conseguenza.
    • Quando unnodo èin modalitàprivata,è anchepossibilenon consentire connessioniin ingresso sullaporta 9732e consentire solo connessioniin entrata correlatee stabilite.Ilnodoprivato stabilirà comunque connessioni solo anodi affidabilie altrinodinon affidabilinon sarannoin grado di connettersi.
    • translation icon
    • calendar icon 2019-02-01

    @xtzbaker èperfetto con leporte utilizzate dalnodo. Laprevenzione degli attacchi DDoSperilnodo di cottura è anche uno deimotiviper cui la configurazionepiù comuneper la cottura è di avere unnodo di cotturaprivato connodipubblici affidabili.

    Fondamentalmente,abbiamo un singolonodo cheilpanettieree l'endorser utilizzanoed è configuratoperessere su modalitàprivata . Lamodalitàprivatanon consentirà le connessioni da altrie dirà anche ai suoipari dinontrasmettere l'esistenza delnodo ai loropari. Permantenere veramenteprivatoilnostronodoprivato,i peer delnodoprivato devonoessere considerati affidabilipernon rivelare l'ip deltuonodoprivato. Ciò significa cheiltuonodoprivato deveimpostarepeerespliciti sunodifidati (invece di lasciare semplicemente cheilnodo scelga qualsiasipeer disponibile sulla rete).

    Cosa significaper unnodoessere affidabile? Ebbene,varia dapersona apersona a seconda del livello di rischio accettato. Ma se vuoi veramentefidarti di unnodo,l'unicomodo èpossederlotu stesso. Detto questo,moltifornai accettano chei nodipubblici dellafondazione siano abbastanza affidabili.

    • Grazieper leinformazioni sulla configurazione.Puoi spiegare comefare questo set utilizzando leimmagini docker.Vedo cheilfilemainnet.sh hatutte le configurazionipredefinitema comemodificare quelle configurazioniper avere una configurazione come spiegato date?Non ci sonomolteinformazioni sulla configurazioneeseguita utilizzando leimmagini Docker.
    • Almomentonon utilizzerei lafinestramobileperilnodoprivato di cottura,in particolarepermotivi con l'utilizzo di un libromastro.Maperi nodipubblicifrontend,l'utilizzo di contenitori Docker èmoltopiùfacile damantenere.Il core devteam limantiene attivamente,almassimo solopochiminuti dietro l'ultimo sul ramomainnet.Potresti usare [mainnet.sh] (https://gitlab.com/tezos/tezos/blob/mainnet/scripts/alphanet.sh),matrovo che l'esecuzione di una configurazione docker-composepersonalizzatafunzionimeglio,[questo è ciò cheIo uso] (https://gist.github.com/sirneb/8419e41aea4f2d5770555301006cea20).
    • translation icon
    • calendar icon 2019-02-04

    Puoi anche aggiungere un ulteriore livello di sicurezzafacendopassare la connessione Internet deltuonodo attraverso una VPNprotetta da DDoS,come OctoVPN https://octovpn.com

    • D'accordo,penso anche che la domanda riguardasse laprotezione contro DDOSe nontanto la questione deiport:
    • https://www.cloudflare.com/ddos/