1,拒絕所有主機ping目前主機
iptables -I INPUT -p icmp –icmp-type 8 -j REJECT
2,本機能通路http服務,别的主機無法通路本機。
iptables -I INPUT -p tcp -m multiport –dports 8080,8088,8888,443 -j REJECT
3,發現有ip惡意攻擊,通過防火牆規則進行控制,如何操作
如果監控發現web伺服器的cpu,負載突然增高,排除使用者通路量大的情況,可能就受到了攻擊,先分析下日志,統計下受到攻擊1小時内的通路量
awk ‘/19\/Sep\/2020\:16/{IPS[$1]++}END{for (i in IPS){print i,IPS[i]}}’ /var/log/nginx/access.log
如果是單IP攻擊,就限制此IP連接配接次數:
iptables -I INPUT -s 47.93.224.193 -m connlimit –connlimit-above 20 -p tcp -m multiport –dports 80,443 -j ACCEPT
4,需求
搭建方案:
因為是自己是在外網環境,和防火牆的外網是可以互相連通的,然而防火牆為了區域網路内部安全考慮,會将内部伺服器隔離起來,如果要實作外部通路,可以開放ssh端口,雖然可以針對外網員工開放規則,但是外網員工的IP位址是變化IP,那麼就需要多次修改,增加管理負擔和安全風險。
![企業優秀運維人員20道必會iptables面試題[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)