AoC-Gamers
diff --git a/‎configure-env.sh‎
Lines changed: 18 additions & 4 deletions b/‎configure-env.sh‎
Lines changed: 18 additions & 4 deletions
diff --git a/‎docs/iptable.loggin.md‎
Lines changed: 6 additions & 1 deletion b/‎docs/iptable.loggin.md‎
Lines changed: 6 additions & 1 deletion
diff --git a/‎docs/modules/09_l4d2_udp_base.md‎
Lines changed: 39 additions & 0 deletions b/‎docs/modules/09_l4d2_udp_base.md‎
Lines changed: 39 additions & 0 deletions
diff --git a/‎docs/modules/10_l4d2_packet_validation.md‎
Lines changed: 10 additions & 0 deletions b/‎docs/modules/10_l4d2_packet_validation.md‎
Lines changed: 10 additions & 0 deletions
diff --git a/‎docs/modules/11_l4d2_a2s_filters.md‎
Lines changed: 42 additions & 9 deletions b/‎docs/modules/11_l4d2_a2s_filters.md‎
Lines changed: 42 additions & 9 deletions
diff --git a/‎docs/source-query-bypass-policy.md‎
Lines changed: 40 additions & 0 deletions b/‎docs/source-query-bypass-policy.md‎
Lines changed: 40 additions & 0 deletions
diff --git a/‎example.env‎
Lines changed: 11 additions & 3 deletions b/‎example.env‎
Lines changed: 11 additions & 3 deletions
@@ -408,6 +408,7 @@ done
 l4d2_game_ports="27015"
 l4d2_tv_ports="27020"
 l4d2_cmd_limit="100"
+enable_udp_baseline_logs="false"
 a2s_info_rate="16"
 a2s_info_burst="80"
 a2s_players_rate="12"
@@ -419,7 +420,8 @@ steam_group_burst="30"
 l4d2_login_rate="4"
 l4d2_login_burst="16"
 enable_steam_group_filter="true"
-steam_group_signatures="00"
+steam_group_signatures="69"
+enable_packet_normalization_logs="false"
 ssh_ports="22"
 ssh_docker=""
 ssh_rate="60/min"
@@ -760,7 +762,7 @@ if [ "${module_enabled[ip_l4d2_a2s_filters]:-false}" = "true" ] || needs_var "A2
 
     steam_group_rate="$(ask_with_context \
         "STEAM_GROUP_RATE" \
-        "Rate por segundo para firmas Steam Group/legacy (ej: 00,69)." \
+        "Rate por segundo para firmas Steam Group/legacy (ej: 69 o 69,00)." \
         "docs/modules/11_l4d2_a2s_filters.md" \
         "STEAM_GROUP_RATE" \
         "$steam_group_rate" \
@@ -807,12 +809,12 @@ if [ "${module_enabled[ip_l4d2_a2s_filters]:-false}" = "true" ] || needs_var "A2
     if [ "$enable_steam_group_filter" = "true" ]; then
         steam_group_signatures="$(ask_with_context \
             "STEAM_GROUP_SIGNATURES" \
-            "Lista CSV de bytes hex (2 dígitos), ej: 00 o 00,69." \
+            "Lista CSV de bytes hex (2 digitos), ej: 69 o 69,00." \
             "docs/modules/11_l4d2_a2s_filters.md" \
             "STEAM_GROUP_SIGNATURES" \
             "$steam_group_signatures" \
             "is_hex_byte_csv" \
-            "Formato inválido. Usa bytes hex CSV como 00 o 00,69.")"
+            "Formato inválido. Usa bytes hex CSV como 69 o 69,00.")"
         steam_group_signatures="${steam_group_signatures^^}"
     fi
 fi
@@ -939,6 +941,7 @@ if [ "$has_l4d2_udp_modules" = "true" ]; then
 cat >> "$output_file" <<EOF
 L4D2_TV_PORTS="${l4d2_tv_ports}"
 L4D2_CMD_LIMIT=${l4d2_cmd_limit}
+ENABLE_UDP_BASELINE_LOGS=${enable_udp_baseline_logs}
 EOF
 fi
 
@@ -959,6 +962,12 @@ STEAM_GROUP_SIGNATURES="${steam_group_signatures}"
 EOF
 fi
 
+if needs_var "ENABLE_PACKET_NORMALIZATION_LOGS"; then
+cat >> "$output_file" <<EOF
+ENABLE_PACKET_NORMALIZATION_LOGS=${enable_packet_normalization_logs}
+EOF
+fi
+
 if needs_var "LOG_PREFIX_HTTP_HTTPS_ABUSE"; then
 cat >> "$output_file" <<EOF
 LOG_PREFIX_HTTP_HTTPS_ABUSE="HTTP_HTTPS_ABUSE: "
@@ -1127,6 +1136,7 @@ fi
 if [ "$has_l4d2_udp_modules" = "true" ]; then
 echo "  L4D2_TV_PORTS=$l4d2_tv_ports" >&2
 echo "  L4D2_CMD_LIMIT=$l4d2_cmd_limit" >&2
+echo "  ENABLE_UDP_BASELINE_LOGS=$enable_udp_baseline_logs" >&2
 fi
 
 if [ "$has_l4d2_a2s_module" = "true" ]; then
@@ -1145,3 +1155,7 @@ if [ "$enable_steam_group_filter" = "true" ]; then
 echo "  STEAM_GROUP_SIGNATURES=$steam_group_signatures" >&2
 fi
 fi
+
+if needs_var "ENABLE_PACKET_NORMALIZATION_LOGS"; then
+echo "  ENABLE_PACKET_NORMALIZATION_LOGS=$enable_packet_normalization_logs" >&2
+fi
@@ -165,6 +165,8 @@ LOG_PREFIX_ICMP_FLOOD=\"ICMP_FLOOD: \"
 L4D2_GAMESERVER_PORTS="27015"
 L4D2_TV_PORTS="27020"
 ```
+
+Si `ENABLE_UDP_BASELINE_LOGS=false` o `ENABLE_PACKET_NORMALIZATION_LOGS=false`, las categorías `UDP_NEW_LIMIT`, `UDP_EST_LIMIT`, `INVALID_SIZE` y `MALFORMED` pueden no aparecer en los reportes. Eso no implica ausencia de filtro, solo ausencia de logging para saneamiento/base.
 - **Configuración**: Basada en `L4D2_CMD_LIMIT` y algoritmos hashlimit específicos
 Para que el script pueda acceder a los logs del sistema, el usuario debe tener permisos adecuados:
 
@@ -442,6 +444,7 @@ Todos los reportes JSON incluyen:
 - **Descripción**: Protección contra floods UDP en conexiones nuevas y establecidas
 - **Detalles técnicos**: Ver [Ataques de Rate Limiting UDP](iptables.rules.md#ataques-rate-limiting-udp)
 - **Configuración**: Basada en `L4D2_CMD_LIMIT` y algoritmos hashlimit específicos
+- **Nota operativa**: Estas categorías pueden deshabilitarse en logs si `ENABLE_UDP_BASELINE_LOGS=false`
 
 ### Otros Ataques
 
@@ -485,6 +488,8 @@ Todos los reportes JSON incluyen:
 - **UDP_NEW_LIMIT**: Protección preventiva
 - **ICMP_FLOOD**: Impacto mínimo si está bien limitado
 
+Nota: `INVALID_SIZE`, `MALFORMED`, `UDP_NEW_LIMIT` y `UDP_EST_LIMIT` pueden omitirse por política de logging si solo se desea registrar limitación de tráfico malicioso.
+
 ### Recomendaciones por Patrón
 
 #### Si predominan ataques A2S:
@@ -676,4 +681,4 @@ EOF
 - [Documentación ipp.sh](ipp.md)
 - [Archivo de Configuración example.env](../example.env)
 
----
+---
@@ -10,6 +10,45 @@ Aplicar base de control UDP para tráfico de juego (NEW/ESTABLISHED) e ICMP.
 ## Variables
 - `L4D2_GAMESERVER_PORTS`, `L4D2_TV_PORTS`, `L4D2_CMD_LIMIT`
 - `LOG_PREFIX_UDP_NEW_LIMIT`, `LOG_PREFIX_UDP_EST_LIMIT`, `LOG_PREFIX_ICMP_FLOOD`
+- `ENABLE_UDP_BASELINE_LOGS` (`false` recomendado en producción)
+- nftables: `STEAM_GROUP_SIGNATURES` para bypass temprano de firmas `0xFFFFFFFFxx` observadas o documentadas
+
+## Bypass de firmas Source
+En backend `nftables`, el módulo deja pasar antes del limitador `ct state new` las firmas de consulta/publicación Source que no deberían caer en el rate-limit genérico:
+
+- `54` -> `A2S_INFO`
+- `55` -> `A2S_PLAYER`
+- `56` -> `A2S_RULES`
+- `57` -> `A2S_SERVERQUERY_GETCHALLENGE` legacy
+- `69` -> `A2A_PING` legacy
+- `71` -> heartbeat / login short-query según flujo observado
+- firmas extra definidas en `STEAM_GROUP_SIGNATURES`
+
+Esto evita que el módulo base bloquee tráfico que luego será clasificado por `l4d2_a2s_filters`.
+
+## Politica de logging
+`UDP_NEW_LIMIT` y `UDP_EST_LIMIT` pertenecen al filtro preventivo/base, no a la clasificación final de abuso.
+
+Por eso:
+
+- `ENABLE_UDP_BASELINE_LOGS=false` es el default recomendado en producción.
+- `ENABLE_UDP_BASELINE_LOGS=true` sirve para diagnóstico cuando quieres ver falsos positivos o ajustar thresholds base.
+- `ICMP_FLOOD` se mantiene logueado porque representa una categoría de abuso más clara.
+
+## Límites del conocimiento público
+Valve documenta claramente las firmas de `Server Queries` y del `Master Server Query Protocol`, pero no publica una firma exclusiva y oficial para "Steam Group" a nivel de byte comparable a `54/55/56/57/69`.
+
+Por eso:
+
+- `STEAM_GROUP_SIGNATURES` debe tratarse como compatibilidad operacional, no como estándar oficial.
+- `00` puede mantenerse si aparece en capturas reales.
+- cualquier firma nueva debe entrar por observación en pcap/logs antes de hardcodearse.
+
+## Referencias oficiales
+- [Valve Developer Community: Server queries](https://developer.valvesoftware.com/wiki/Server_queries)
+- [Valve Developer Community: Master Server Query Protocol](https://developer.valvesoftware.com/wiki/Master_Server_Query_Protocol)
+- [Valve Developer Community: Add-on](https://developer.valvesoftware.com/wiki/Add-on) (`sv_steamgroup`, `sv_search_key`, private matchmaking tags)
+- [Politica interna: Source Query Bypass](../source-query-bypass-policy.md)
 
 ## Nota operativa
 Desactivar en nodos sin juegos excluyendo `l4d2_udp_base` de `MODULES_ONLY`.
@@ -10,9 +10,19 @@ Bloquear tamaños UDP inválidos/malformados típicos de abuso sobre puertos de
 ## Variables
 - `L4D2_GAMESERVER_PORTS`, `L4D2_TV_PORTS`
 - `LOG_PREFIX_INVALID_SIZE`, `LOG_PREFIX_MALFORMED`
+- `ENABLE_PACKET_NORMALIZATION_LOGS` (`false` recomendado en producción)
 
 ## Diferencias por backend
 - Ambos aplican validación de tamaños inválidos/malformados sobre puertos de juego.
 
+## Politica de logging
+Este módulo hace saneamiento/normalización de tráfico, no clasificación principal de abuso.
+
+Por eso:
+
+- `ENABLE_PACKET_NORMALIZATION_LOGS=false` es el default recomendado en producción.
+- `ENABLE_PACKET_NORMALIZATION_LOGS=true` se reserva para diagnóstico o captura forense.
+- Los drops siguen ocurriendo aunque el logging esté desactivado.
+
 ## Nota operativa
 - Mantener fuera de `MODULES_ONLY` en nodos sin tráfico L4D2 para minimizar reglas innecesarias.
@@ -25,24 +25,43 @@ Mitigar flood de consultas A2S/Steam Group y patrones de login (`connect/reserve
 - `L4D2_LOGIN_RATE` (default `4`)
 - `L4D2_LOGIN_BURST` (default `16`)
 - `ENABLE_STEAM_GROUP_FILTER` (`true|false`, default `true`)
-- `STEAM_GROUP_SIGNATURES` (default `"00"`, formato `hex,hex`, por ejemplo `"00,69"`)
+- `STEAM_GROUP_SIGNATURES` (default `"69"`, formato `hex,hex`, por ejemplo `"69,00"`)
 
 ## Firmas que usa el módulo
 El módulo inspecciona el prefijo Source `0xFFFFFFFF` y luego clasifica por byte de comando:
 
 - `54` -> A2S_INFO (`A2S_LIMITS`)
 - `55` -> A2S_PLAYERS (`A2S_PLAYERS_LIMITS`)
 - `56` -> A2S_RULES (`A2S_RULES_LIMITS`)
+- `57` -> `A2S_SERVERQUERY_GETCHALLENGE` legacy/obsoleto en documentación Valve
+- `69` -> `A2A_PING` legacy/obsoleto en documentación Valve
 - `71` -> Login short-query L4D2 (subfiltro `connect/reserve`)
-- `00` -> Steam Group / queries legacy (si `ENABLE_STEAM_GROUP_FILTER=true`)
-- `69` -> Firma opcional Steam/legacy adicional (si se agrega en `STEAM_GROUP_SIGNATURES`)
+- `00` -> compatibilidad legacy observada en despliegues reales (si `ENABLE_STEAM_GROUP_FILTER=true`)
+
+## Nota sobre Steam Group
+Valve documenta `sv_steamgroup` y los filtros de matchmaking/grupo, pero no publica claramente un byte exclusivo de consulta "Steam Group" comparable a `54/55/56/57/69`.
+
+Por eso la suite trata `STEAM_GROUP_SIGNATURES` como una lista configurable de firmas observadas en operación:
+
+- `00` se mantiene por compatibilidad con despliegues donde esa firma aparece en el flujo de descubrimiento.
+- `69` es el default porque Valve sí lo documenta como `A2A_PING`, y algunos clientes/herramientas legacy todavía lo emiten.
+- Si aparecen otros bytes firmados válidos en captura, se pueden añadir sin tocar código.
+
+## Lobby y publicación
+La documentación pública de Valve/Steamworks describe el lobby y el matchmaking principalmente a nivel de API y metadata, no como un protocolo UDP público con firma equivalente a A2S:
+
+- `SetLobbyGameServer` / `GetLobbyGameServer` exponen asociación lobby <-> servidor a nivel API.
+- `sv_steamgroup`, `sv_search_key` y tags privadas se describen como metadata de matchmaking/publicación.
+- el browser público sigue apoyándose en `Server Queries` y en el `Master Server Query Protocol`.
+
+En consecuencia, el firewall no debería asumir que existe una firma pública exclusiva "de lobby" o "de steamgroup" si no fue observada en captura real.
 
 ### Detalle de firmas Steam Group
 - La detección Steam Group ya no está hardcodeada a `00`.
 - Ahora se controla con `STEAM_GROUP_SIGNATURES`.
 - El módulo acepta lista CSV de bytes hex de 2 dígitos, por ejemplo:
-  - `STEAM_GROUP_SIGNATURES="00"`
-  - `STEAM_GROUP_SIGNATURES="00,69"`
+  - `STEAM_GROUP_SIGNATURES="69"`
+  - `STEAM_GROUP_SIGNATURES="69,00"`
 - Si `ENABLE_STEAM_GROUP_FILTER=false`, no se crean reglas de match para firmas Steam Group.
 
 ## Lógica de mitigación
@@ -63,13 +82,27 @@ Antes de aplicar reglas, el módulo valida:
 - formato de `L4D2_GAMESERVER_PORTS`
 - todos los `*_RATE` y `*_BURST` como enteros positivos
 - `ENABLE_STEAM_GROUP_FILTER` en `true|false`
-- `STEAM_GROUP_SIGNATURES` con regex hex CSV (`00` o `00,69`, etc.) cuando está habilitado
+- `STEAM_GROUP_SIGNATURES` con regex hex CSV (`69` o `69,00`, etc.) cuando está habilitado
 
 ## Diferencias por backend
 - Ambos aplican mitigaciones A2S/Steam y patrones de login equivalentes por área.
 - `iptables` usa `-m string --hex-string '|FFFFFFFF..|'`.
 - `nftables` usa payload match (`@th,64,40 0xFFFFFFFF..`) con meter/rate.
 
+## Qué mejorar con esta información
+- Mantener el bypass temprano del módulo base sólo para firmas documentadas por Valve y para firmas empíricas controladas por `STEAM_GROUP_SIGNATURES`.
+- Evitar hardcodear `00` como si fuera una firma oficial de Steam Group; documentarlo como heurística operacional.
+- Revisar logs `UDP_NEW_LIMIT` antes de tocar `STEAM_GROUP_RATE`, porque muchos falsos positivos ocurren en el módulo base y no en `l4d2_a2s_filters`.
+- Si reaparece un problema de visibilidad, capturar `pcap` y promover nuevas firmas sólo después de verificarlas en tráfico real.
+- Mantener el logging de este módulo como logging de abuso real, separado del logging de normalización/base.
+
+## Referencias oficiales
+- [Valve Developer Community: Server queries](https://developer.valvesoftware.com/wiki/Server_queries)
+- [Valve Developer Community: Master Server Query Protocol](https://developer.valvesoftware.com/wiki/Master_Server_Query_Protocol)
+- [Valve Developer Community: Add-on](https://developer.valvesoftware.com/wiki/Add-on)
+- [Steamworks API: ISteamMatchmaking](https://partner.steamgames.com/doc/api/ISteamMatchmaking)
+- [Politica interna: Source Query Bypass](../source-query-bypass-policy.md)
+
 ## Nota operativa
 - Excluir `l4d2_a2s_filters` de `MODULES_ONLY` en nodos sin servicios de juego.
 - Recomendación: usar puertos reales de juego en `L4D2_GAMESERVER_PORTS` y dejar `UDP_ALLOW_PORTS=""` para evitar bypass de mitigaciones.
@@ -89,7 +122,7 @@ STEAM_GROUP_BURST=30
 L4D2_LOGIN_RATE=4
 L4D2_LOGIN_BURST=16
 ENABLE_STEAM_GROUP_FILTER=true
-STEAM_GROUP_SIGNATURES="00,69"
+STEAM_GROUP_SIGNATURES="69"
 ```
 
 Perfil más estricto:
@@ -106,7 +139,7 @@ STEAM_GROUP_BURST=12
 L4D2_LOGIN_RATE=2
 L4D2_LOGIN_BURST=6
 ENABLE_STEAM_GROUP_FILTER=true
-STEAM_GROUP_SIGNATURES="00"
+STEAM_GROUP_SIGNATURES="69"
 ```
 
 Perfil permisivo (tráfico alto legítimo):
@@ -123,5 +156,5 @@ STEAM_GROUP_BURST=60
 L4D2_LOGIN_RATE=8
 L4D2_LOGIN_BURST=32
 ENABLE_STEAM_GROUP_FILTER=true
-STEAM_GROUP_SIGNATURES="00,69"
+STEAM_GROUP_SIGNATURES="69,00"
 ```
@@ -0,0 +1,40 @@
+# Politica de Bypass de Firmas Source
+
+## Objetivo
+Definir que firmas UDP con prefijo `0xFFFFFFFF` pueden recibir bypass temprano en el firewall y bajo que criterio deben mantenerse, agregarse o retirarse.
+
+## Principios
+- Solo se hardcodean por defecto firmas documentadas publicamente por Valve o necesarias para el flujo base de publicacion/consulta Source.
+- Las firmas no documentadas publicamente se tratan como empiricas y deben entrar por configuracion, no por hardcode.
+- Una firma empirica no pasa a default global sin evidencia repetible en capturas o incidentes reales.
+
+## Firmas documentadas
+- `54` -> `A2S_INFO`
+- `55` -> `A2S_PLAYER`
+- `56` -> `A2S_RULES`
+- `57` -> `A2S_SERVERQUERY_GETCHALLENGE` legacy
+- `69` -> `A2A_PING` legacy
+- `71` -> flujo de heartbeat/login corto asociado a publicacion y conexion Source
+
+Estas firmas pueden recibir bypass temprano en `l4d2_udp_base` para evitar que el limitador generico `ct state new` bloquee trafico legitimo antes de que `l4d2_a2s_filters` lo clasifique.
+
+## Firmas empiricas
+- `00` no se considera una firma oficial de Steam Group documentada por Valve.
+- `00` puede usarse cuando aparezca en capturas reales relacionadas con visibilidad, browser o matchmaking privado.
+- Cualquier otro byte adicional debe incorporarse via `STEAM_GROUP_SIGNATURES`.
+
+## Politica de defaults
+- `STEAM_GROUP_SIGNATURES` debe privilegiar firmas documentadas. Default recomendado: `69`.
+- `00` queda como compatibilidad opt-in. Si un nodo lo necesita, usar `STEAM_GROUP_SIGNATURES="69,00"`.
+- Si no hay evidencia de que `00` participe en el problema de visibilidad, no debe habilitarse por defecto.
+
+## Politica operativa
+- Revisar primero `UDP_NEW_LIMIT` en logs antes de aumentar `STEAM_GROUP_RATE`.
+- Si hay nueva firma candidata, capturar `pcap`, verificar payload y documentar fecha, contexto y razon de inclusion.
+- Si una firma empirica deja de ser necesaria, retirarla del perfil del nodo antes de convertirla en default del proyecto.
+
+## Fuentes oficiales
+- [Valve Developer Community: Server queries](https://developer.valvesoftware.com/wiki/Server_queries)
+- [Valve Developer Community: Master Server Query Protocol](https://developer.valvesoftware.com/wiki/Master_Server_Query_Protocol)
+- [Valve Developer Community: Add-on](https://developer.valvesoftware.com/wiki/Add-on)
+- [Steamworks API: ISteamMatchmaking](https://partner.steamgames.com/doc/api/ISteamMatchmaking)
@@ -138,6 +138,10 @@ L4D2_TV_PORTS="27020"
 # Used to calculate UDP limits: L4D2_CMD_LIMIT+10 (burst), L4D2_CMD_LIMIT+30 (maximum)
 L4D2_CMD_LIMIT=100
 
+# Logging policy for the preventive UDP base limiter.
+# Keep false in production if you only want logs for abusive traffic.
+ENABLE_UDP_BASELINE_LOGS=false
+
 # A2S and Steam Group query limits (more flexible defaults)
 # Rate units are per-second integer values.
 A2S_INFO_RATE=16
@@ -153,10 +157,14 @@ STEAM_GROUP_BURST=30
 L4D2_LOGIN_RATE=4
 L4D2_LOGIN_BURST=16
 
-# Steam Group signatures to match (hex byte list without 0x prefix)
-# Default: 00. You can extend it, e.g. "00,69".
+# Steam Group / legacy signed query bytes to match (hex byte list without 0x prefix)
+# Default: 69. Add 00 only if packet captures show it is needed: "69,00".
 ENABLE_STEAM_GROUP_FILTER=true
-STEAM_GROUP_SIGNATURES="00"
+STEAM_GROUP_SIGNATURES="69"
+
+# Logging policy for packet normalization/sanitization drops.
+# Keep false in production if you only want logs for abusive traffic.
+ENABLE_PACKET_NORMALIZATION_LOGS=false
 
 # Trusted IPs (complete whitelist)
 # These IPs bypass ALL rate-limits and TCP blocks