1,拒绝所有主机ping当前主机
iptables -I INPUT -p icmp –icmp-type 8 -j REJECT
2,本机能访问http服务,别的主机无法访问本机。
iptables -I INPUT -p tcp -m multiport –dports 8080,8088,8888,443 -j REJECT
3,发现有ip恶意攻击,通过防火墙规则进行控制,如何操作
如果监控发现web服务器的cpu,负载突然增高,排除用户访问量大的情况,可能就受到了攻击,先分析下日志,统计下受到攻击1小时内的访问量
awk ‘/19\/Sep\/2020\:16/{IPS[$1]++}END{for (i in IPS){print i,IPS[i]}}’ /var/log/nginx/access.log
如果是单IP攻击,就限制此IP连接次数:
iptables -I INPUT -s 47.93.224.193 -m connlimit –connlimit-above 20 -p tcp -m multiport –dports 80,443 -j ACCEPT
4,需求
搭建方案:
因为是自己是在外网环境,和防火墙的外网是可以互相连通的,然而防火墙为了局域网内部安全考虑,会将内部服务器隔离起来,如果要实现外部访问,可以开放ssh端口,虽然可以针对外网员工开放规则,但是外网员工的IP地址是变化IP,那么就需要多次修改,增加管理负担和安全风险。