在我的服务器防火墙日志中,我发现大多数被阻止的请求都是针对某个特定端口的,而且这些端口每天都在变化,假设每天被阻止的 5000 个请求中有 4000 个被阻止,剩下的 1000 个是常规端口扫描或病毒等,但是那 4000 个呢?这对我来说毫无意义,最令人困惑(不安)的是,即使是来自已知的可信 IP 地址。今天是端口 54905,昨天是 48251,前天是 42775...即使 IP 地址重复,也至少有几百个。
它是全球性的吗?我的意思是有人对这些端口也有同样的阻止请求吗?或者有人知道这些请求的来源吗?
我知道这个问题有点傻,但我想知道发生了什么。事情是这样的,我的客户端 IP 在列表中,我怀疑病毒在他的机器上运行。我不得不将他的 IP 列入白名单,否则 fail2ban 会禁止他的 IP 进行端口扫描,只要他从家里连接,这没问题,但是当他尝试在移动互联网等上使用该服务时,他将被禁止,这就是我问这个问题的原因,如果我明白这些请求来自哪里,我可以制定一条规则来忽略这些端口而不是禁止它们,但是当端口每天都在变化而我不知道为什么时,我就是做不到,唯一的部分解决方案是禁用端口扫描监狱,这不是我想要做的。
摘要:
我的问题是客户端不在白名单中时会被禁止。
目前的情况是,他们确实被禁止,只是因为请求了不允许的端口。
理想的状态是,当端口扫描监狱仍在运行时,不必将他们的 IP 列入白名单。
答案1
iptables -A port-scan -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN
iptables -A port-scan -j DROP
阻止秘密端口扫描的规则。秘密端口扫描是一种通过检测关闭的端口来推断开放端口的扫描