IP 被阻止后仍可访问

Question 1

UFW 规则按顺序检查。第一个与源和目标匹配的规则适用，其余规则将被忽略。

当您使用普通ufw deny命令时，规则会添加到其他规则之后（用于ufw status按顺序列出规则）。如果源地址与您上方的allow或行匹配（并且很可能有一行），则该允许/限制行适用，并且不会检查您的规则。limitdeny

为了确保您的规则首先出现，请执行以下操作：

ufw insert 1 deny from 78.128.113.58/24 to any

Answer

UFW 规则按顺序检查。第一个与源和目标匹配的规则适用，其余规则将被忽略。

当您使用普通ufw deny命令时，规则会添加到其他规则之后（用于ufw status按顺序列出规则）。如果源地址与您上方的allow或行匹配（并且很可能有一行），则该允许/限制行适用，并且不会检查您的规则。limitdeny

为了确保您的规则首先出现，请执行以下操作：

ufw insert 1 deny from 78.128.113.58/24 to any

Question 2

前面的答案解决了为什么该ufw命令没有效果。但是它没有解释为什么该ip route命令没有效果。

它对您不起作用的原因是78.128.113被解释为78.128.113.0/32。因此，您只阻止了一个 IP 地址，该地址不是您接收流量的 IP 地址。如果您想阻止整个 /24 IP 范围，您可以使用：

ip route add unreachable 78.128.113.0/24

需要注意的是，该ip命令只会阻止返回流量，而不会阻止传入流量。这意味着来自该 IP 范围的传入流量可能仍会通过创建半开 TCP 连接或向无状态服务（通常基于 UDP）发送数据包来消耗主机上的一些资源。

由于这些原因，防火墙规则（例如使用创建的规则）ufw可能比命令更适合您的特定用例ip route。

Answer

前面的答案解决了为什么该ufw命令没有效果。但是它没有解释为什么该ip route命令没有效果。

它对您不起作用的原因是78.128.113被解释为78.128.113.0/32。因此，您只阻止了一个 IP 地址，该地址不是您接收流量的 IP 地址。如果您想阻止整个 /24 IP 范围，您可以使用：

ip route add unreachable 78.128.113.0/24

需要注意的是，该ip命令只会阻止返回流量，而不会阻止传入流量。这意味着来自该 IP 范围的传入流量可能仍会通过创建半开 TCP 连接或向无状态服务（通常基于 UDP）发送数据包来消耗主机上的一些资源。

由于这些原因，防火墙规则（例如使用创建的规则）ufw可能比命令更适合您的特定用例ip route。

相关内容