Туториал Защита сервера BungeeCord от взлома

@Eskander создал прекрасный подробный туториал по настройке и установке BungeeCord, но он не написал ничего по поводу защиты мультисервера от взлома. Я владею таким сервером, и на своем опыте знаю что это такое.

1)Переход на другой сервер без ввода пароля.
ОБЯЗАТЕЛЬНО уберите из конфига BungeeCord пермишнс " - bungeecord.command.server", команда /server идет не от сервера, а от прокси, поэтому игрок, не введя пароль, может использовать эту команду, взамен ее, если вы используете ChestCommands, привяжите к предметам меню команду COMMAND: 'server:survival'

2)Заход на сервер минуя лобби.
Даже если в конфиге spigot.yml стоит bungeecord: true, на этот сервер можно зайти, минуя прокси-сервер. Поэтому обязательно ставьте на Ваши сервера плагин IPlist, который пускает на сервер только с одного ip

 

Тогда, хочу кое что отметить. По поводу плагина - не обязательно его ставить, достаточно просто изменить строчку в server.properties

Код:

server-ip=127.0.0.1

P.S При условии, что у нас сервера находятся на 1 машине. Кстати, после всех настроек у меня видно реальный IP адрес игрока, а не прокси сервера.

 

не на всех хостингах в настройках можно поставить другой ip

 

Сервера с банжой ставят на дедик, и для защиты банжосерверов юзается иптаблес.
Простой пример закрытия порта на внешку.

# устанавливаем persistent
apt-get install iptables-persistent
# разрешаем локальный трафик
iptables -A INPUT -i lo -j ACCEPT
# блокируем все остальные соединения извне
iptables -A INPUT -p tcp --dport 25567 -j DROP
# сохраняем правила
service iptables-persistent save

 

Не у всех есть ssh доступ к дедику

Командой /whois показывает реальный?

 

Да.

 

Буду признателен вам, если сможете поподробнее описать все конфигурации

 

Дабы потом не спрашивать, сервера на одной машине вместе с прокси?

 

пока да, но в будущем планируется разширение

 

Окей. Конкретно, что я делал.

1. Изменяем конфиг BungeeCord.

Код:

ip_forward: true

2. Изменяем spigot.yml в папке сервера.

Код:

bungeecord:true

3. Изменяем server.properties в папке сервера.

Код:

server-ip=127.0.0.1

После этих действий у меня нормально стали отображаться IP-шники игроков.

 

спасибо большое за помощь

а какая у вас версия bungeecord?

 

build #1013

 

А что делать если сервера стоят на разных машинах?

 

А вот тут уже проблемно будет настроить, так как я с этим не сталкивался.
Тут сразу же проблема:
Так как настроена переадресация ипшников, то к серверу будут цепляться разные ip адреса, а значит нельзя разрешить только 1 адрес. Плюс к серверу смогут подключится напрямую, узнав IP и порт.

Можно решить все это, но отказавшись от реальных ипшников игроков, после настроить iptables для коннекта только с одного адреса.
Либо воспользоватся аналогом - LilyPad(там парольный доступ к серверу + плагин для сервера, зайти можно только через прокси, иначе - не пустит из-за неверного пароля).

 

LilyPad не работает для версии 1.7.9, решение с отказом от реальный айпи игроков я знаю

 

К сожалению, я не юзал LilyPad, а только читал про него. Больше вроде бы вариантов то нету.

 

А если запустить сервера на нестандартных портах, которые подобрать невозможно?

 

Порты от 1-65535 не так долго сканируются.
Стоп. На сервер нельзя зайти, если настроено в файле spigot.yml

Код:

bungeecord: true

 

На своем опыте знаю что это взламывается

 

Спорить не буду.