所以我想弄清楚,如果我从另一台服务器接收到我的服务器的 UDP 流量,我无法真正阻止它,就像 iptables 一样,它只是阻止正在处理的流量,但我想阻止它到达接口,有没有什么方法可以阻止 IP 向服务器发送流量,就像不接收它一样?
答案1
如果你想阻止流量通过网络链路,你必须在链路上游的某个地方阻止它。如果你想阻止流量到达主机,你必须在主机上游的某个地方阻止它。
如果您在不希望流量进入的地方的上游某处有一台设备,并且可以配置该设备来阻止流量,那么您就可以阻止流量消耗您试图保护的资源。否则,您无法做到。
主机内置的防火墙有利于安全,因为它们可以阻止主机处理流量,无论流量如何到达主机。但它们在保护饱和网络链接攻击方面并不是特别有效,因为流量会一路到达主机,在传输过程中消耗资源。
但是,如果您的服务器对攻击的回应对您造成了伤害(因为它在出站端消耗了服务器 CPU 或网络带宽),那么您在哪里阻止攻击流量并不重要。
答案2
在任何系统中,您都必须有某种方法来识别被阻止的流量。是的,您可以通过在“上游接口”阻止流量来阻止流量到达任意数量的接口 - 这通常是通过防火墙完成的。但是,这个上游防火墙必须以某种方式接收这种不良流量,才能知道要阻止它。
这是网络边界设备也是防火墙的主要原因之一。