我在 ubuntu Linux 网络服务器 16.04 lts 上设置了 fail2ban。我将其设置为始终记住被拒绝的 IP(被监禁),iptable 也是如此 - 它被设置为记住被拒绝的地址。我这样做没有其他原因,就是为了看看有多少次尝试闯入。我本可以将其设置为不记住这些 IP 地址,然后给他们 24 小时的监禁期。也许我太担心那些试图闯入的黑客了。我看到闯入的尝试次数(基于设置的规则)每天增加 100-150 次,所有 IP 地址都是唯一的。这些 IP 地址中的大多数来自美国境外。我不得不相信,在某个时候,数量将达到几千个我标记为不允许访问的坏 IP 地址。我担心服务器会超载并降级到无法使用的程度。是否有一些值得遵循的良好做法,我应该使用 fail2ban 和 iptables 来处理这些试图闯入的不良 IP 地址?
更新:我已经设置了fail2ban并创建了以下监狱:
##阻止来自远程主机的 DOS 攻击。
[http-get-dos]
已启用=真
端口 = http,https
过滤器 = http-get-dos
日志路径 = /var/log/apache*/access.log
最大重试次数 = 1
查找时间 = 86400
银行时间 = -1
忽略 IP = 111.222.333.12
## 操作 = iptables[名称=HTTP, 端口=http, 协议=tcp]
banaction=iptables-ipset-proto4
我已经将 ipset 和 iptables 配置如下:
sudo iptables -I INPUT -m 设置 --match-set f2b-http-get-dos src -j DROP
sudo iptables -I FORWARD -m set --match-set f2b-http-get-dos src -j DROP
当我查询 ipset 集合名称时,我看到列出的成员。
当我查询 iptables 时,我看到了设置名称。
我如何知道并确认 ipset 中列出的被禁止 IP 地址正在被 iptables 防火墙保护?