我有一个后端,它对 JSON 数据进行一些分析,如果客户端的数据无效,我必须禁止客户端。我的后端使用 ipset 和 iptables 规则,但为了使这些规则起作用,我必须先终止连接,否则攻击者可以继续滥用后端。请告诉我是否可以强制 haproxy 终止与客户端的连接,或者如何调整我的防火墙规则以对已建立的连接生效。
规则:
/sbin/iptables -I INPUT -m set --match-set abusers src -p TCP --match multiport --dports 8080 -j REJECT
为了获取真实 IP,haproxy 中的选项如下:
reqidel ^X-Forwarded-For:.*
option forwardfor
我现在唯一的解决方案是使用“option forceclose”。