Как защитить игровой сервер Counter-Strike 1.6 на Debian 12 от DDoS-атак? Провайдер ограничивает интернет на 1 час 5-6 раз в день из-за большого количества запросов. Какие эффективные методы и настройки использовать для защиты?
Защитить сервер CS 1.6 на Debian 12 от DDoS-атак реально с помощью защиты от ddos через iptables, rate limiting и Fail2Ban — это базовые методы защиты от ddos атак, которые снижают нагрузку и предотвращают отключения провайдера. Если флудит много запросов на порт 27015 (UDP/TCP для HLDS), настройте лимиты соединений и SYN-proxy, чтобы отсечь ботов. Для серьезных атак подключите внешние ddos защита сервера вроде Cloudflare Spectrum или провайдера с scrubbing.
Содержание
- Обзор угроз и методов защиты сервера CS 1.6
- Базовая настройка фаервола iptables на Debian 12
- Защита от SYN-флуда и UDP-флуда
- Rate limiting и ограничение соединений для CS 1.6
- Автоматическая блокировка с Fail2Ban
- Мониторинг трафика и внешние сервисы DDoS-защиты
- Источники
- Заключение
Обзор угроз и методов защиты сервера CS 1.6
Серверы CS 1.6 популярны — сервера cs 1.6 ищут тысячи игроков ежемесячно, но это приманка для DDoS. Ваш провайдер банит трафик на час 5-6 раз в день? Это классика: флуд UDP-пакетами на порт 27015, SYN-флуд или amplification-атаки. Без ddos защита сервер ляжет, игроки уйдут.
Что делать? Комбинируйте локальную защиту сервера от ddos и внешние инструменты. Локально — iptables с модулями nf_conntrack, connlimit. Плюс Fail2Ban для банов по логам. Внешне — прокси или scrubbing-сервисы. На Debian 12 все это ставится за час, но тестируйте на staging-сервере, чтоб не отрубить легитимных игроков.
Представьте: пик онлайна, и бац — 10 Гбит/с мусора. Rate limiting спасет, пропустив только реальные пинги и джойны.
Базовая настройка фаервола iptables на Debian 12
Debian 12 свежий, iptables-legacy в комплекте. Не используйте ufw — оно просто, но для игр слабовато. Перейдите на nftables? Нет, для CS 1.6 iptables надежнее.
Сначала обновите систему:
sudo apt update && sudo apt upgrade -y
sudo apt install iptables-persistent netfilter-persistent
Базовые правила для сервер cs 1.6 (HLDS на порту 27015 UDP/TCP, мастер-сервер 27011 UDP, Steam 27000-27050):
sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -X
# Разрешаем loopback
iptables -A INPUT -i lo -j ACCEPT
# Устанавливаем политики
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Разрешаем established/related
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# CS 1.6 порты
iptables -A INPUT -p udp --dport 27015 -j ACCEPT
iptables -A INPUT -p tcp --dport 27015 -j ACCEPT
iptables -A INPUT -p udp --dport 27011 -j ACCEPT
iptables -A INPUT -p tcp --dport 27000:27050 -j ACCEPT # Steam auth
# ICMP для пинга (ограничено)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Сохраняем
sudo netfilter-persistent save
Это база. Теперь добавим методы защиты от ddos атак. Провайдер перестанет жаловаться на “большое количество запросов”.
Защита от SYN-флуда и UDP-флуда
SYN-флуд — killer для TCP на 27015. Установите ddos защита с SYNPROXY:
sudo apt install iptables-persistent
sudo modprobe xt_SYNPROXY
Правило:
iptables -t raw -N synproxy
iptables -t raw -A PREROUTING -i eth0 -p tcp --syn -j synproxy --synproxies 512 --sack-perm --timestamp --wscale 7
iptables -t raw -A PREROUTING -i eth0 -p tcp --tcp-flags FIN,SYN,RST,ACK SYN -j synproxy
Для UDP-флуда (основная беда CS-серверов) — hashlimit:
iptables -A INPUT -p udp --dport 27015 -m hashlimit --hashlimit-upto 100/sec --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-srcmask 32 -j ACCEPT
iptables -A INPUT -p udp --dport 27015 -j DROP
Тестируйте: hping3 --udp -p 27015 --flood your_ip. Если держит — ок. Это защита от ddos атак на уровне ядра, бесплатно и эффективно.
А что с amplification? Блокируйте DNS/UDP 53 входящий:
iptables -A INPUT -p udp --dport 53 -j DROP
Rate limiting и ограничение соединений для CS 1.6
Ddos защита сервера без лимитов — бесполезно. Ограничьте соединения по IP: max 10 на CS-порт.
apt install iptables-persistent
iptables -A INPUT -p tcp --dport 27015 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT
iptables -A INPUT -p udp --dport 27015 -m recent --name cs --rcheck --seconds 60 -j ACCEPT
iptables -A INPUT -p udp --dport 27015 -m recent --name cs --update --hitcount 50 --seconds 300 -j DROP
iptables -A INPUT -p udp --dport 27015 -m recent --name cs --set
Для мастер-сервера (27011 UDP) — еще жестче, 5/sec:
iptables -A INPUT -p udp --dport 27011 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT
Это решает проблему провайдера: легитимные игроки проходят, флудеры тонут. На сервера cs 1.6 в онлайне 32 слота — хватит.
Перезагрузка? Добавьте в /etc/rc.local или используйте persistent.
Автоматическая блокировка с Fail2Ban
Fail2Ban — must-have для защита сервера от ddos. Сканирует логи HLDS (/home/cstrike/hlds.log) и банит флuderов.
sudo apt install fail2ban
Создайте jail для CS: /etc/fail2ban/jail.d/cs16.local:
[cs16-flood]
enabled = true
port = 27015
filter = cs16-flood
logpath = /path/to/hlds.log
maxretry = 5
bantime = 3600
findtime = 600
Фильтр /etc/fail2ban/filter.d/cs16-flood.conf:
[Definition]
failregex = ^.*<NO-IDENT.*<IP>:.*connect.*$
ignoreregex =
sudo systemctl restart fail2ban. Теперь методы защиты от ddos атак автоматизированы — IP флудера улетит в бан на час.
Мониторинг трафика и внешние сервисы DDoS-защиты
Локально не хватит? Мониторьте с iftop, nload или netdata:
apt install netdata
systemctl enable --now netdata
Смотрите дашборд на http://your_ip:19999 — увидите, кто жрет bandwidth.
Для hardcore DDoS — внешние ddos защита. Cloudflare Spectrum (платно, от $20/мес) проксирует UDP 27015. Или OVH Game VPS с встроенной защитой до 1.5 Tbps. В России — DDoS-Guard или Kaspersky DDoS Protection.
Если бюджет нулевой, мигрируйте на хостинг с ddos защита (типа Timeweb или Reg.ru). Провайдер перестанет отключать — трафик чистый.
Еще трюк: AMX Mod X плагин Anti-Flood на сервере CS — банит спамеров внутри игры.
Источники
Поскольку прямых извлеченных источников нет, опираемся на стандартные практики Debian и сообщества CS 1.6. Ключевые данные по поисковым запросам из Yandex Wordstat.
Заключение
Защита от ddos для сервера CS 1.6 на Debian 12 — это iptables + rate limiting + Fail2Ban, плюс мониторинг. Начните с базового фаервола, протестируйте под нагрузкой — провайдер перестанет банить. Для топ-защиты добавьте внешний scrubbing. Игроки останутся, сервер взлетит в мониторингах. Удачи в онлайне!