如何通过 iptables 阻止所有请求为 ServerIP:Port

如何通过 iptables 阻止所有请求为 ServerIP:Port

我看到许多 http ddos​​ 请求以 serverIP:80 的形式发送到我的服务器。是否可以阻止所有对 myServerIP:Port 的传入请求?

答案1

回答这个问题:

iptables -A INPUT -p tcp --dport 80 -j DROP

您可能想使用 REJECT 而不是 DROP。

但是,Web 服务器监听 80 端口有什么意义呢?

答案2

如果使用网络服务器,您需要的是缓解措施。

Apache例如,mod_evasive我在工作中使用的 has 。

在家里,我只是不费心采取最积极的措施,只是将所有服务绑定到内部网络,包括 ssh,并且禁用 ping。从外部进入的唯一方法是通过 VPN。

如果您不会运行网络服务器,请iptables按照其他建议所述使用阻止它。

我不会太担心探测器。

另一个更适合处理 HTTP 请求并根据它们获取操作的方法是modsecurity,这可能就是您想要的。

它是一个具有所有功能的第 7 层状态防火墙,并且它具有非常灵活的语言,可以让您完成您想要的事情。我也用它来减轻对 WordPress、Joomla 和 Drupal 虚拟主机的攻击。

我会给你留下链接

https://www.digitalocean.com/community/tutorials/how-to-set-up-mod_security-with-apache-on-debian-ubuntu

另一种方法是允许 cloudflare 范围,并阻止 Web 服务器级别的所有其他请求。

云耀斑范围:

IPv4

103.21.244.0/22 103.22.200.0/22 103.31.4.0/22 104.16.0.0/12 108.162.192.0/18 141.101.64.0/18 162.158.0.0/15 172.64.0.0/13 173.245.48.0/20 188.114.96.0/20 190.93.240.0/20 197.234.240.0/22 198.41.128.0/17 199.27.128.0/21

IPv6

2400:cb00::/32 2405:8100::/32 2405:b500::/32 2606:4700::/32 2803:f800::/32

相关内容