【已解答】宝塔nginx防火墙的问题和建议
我发现当网站遭遇CC攻击时,封了IP后,被封IP的请求依然可以得到nginx的响应(响应了错误状态码),这样的封IP机制导致被封IP的请求依然会占用nginx连接,当遭遇大并发CC攻击的时候,虽然CPU和内存占用不多,但大量的TCP连接将占用大量的带宽,导致网站无法正常访问。我处理这个问题的笨办法是将nginx防火墙封掉的IP导出,再重新添加到firewalld的禁止列表中。
像这样:
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="8.8.8.8" drop'
总结:被封的IP不应该继续响应,而是直接丢弃,不建立连接,防止利用此问题进行流量攻击。
您好,现在新版本的防火墙是把ip黑名单放到了ipset中的黑名单里了,是无法建立tcp、udp链接的
大炮运维V587 发表于 2022-9-12 10:59
您好,现在新版本的防火墙是把ip黑名单放到了ipset中的黑名单里了,是无法建立tcp、udp链接的
...
现在最新版的防火墙版本是多少呀,我看看我服务器是不是最新的去 大炮运维V587 发表于 2022-9-12 10:59
您好,现在新版本的防火墙是把ip黑名单放到了ipset中的黑名单里了,是无法建立tcp、udp链接的
...
被封的IP确实是在ipset列表,但仅仅是无法访问nginx上面的网站,被封的IP依然能ping通服务器IP,依然能访问宝塔面板,用tcping测试,端口的tcp依然是有响应的;P 昨天的王者 发表于 2022-9-13 15:17
被封的IP确实是在ipset列表,但仅仅是无法访问nginx上面的网站,被封的IP依然能ping通服务器IP,依然能访 ...
在网络层就把请求拦截了,不会到的,你确定下ip是否正确? 大炮运维V587 发表于 2022-9-13 21:31
在网络层就把请求拦截了,不会到的,你确定下ip是否正确?
确定IP没问题,另外,独立的ipset得配合iptables来禁IP吧?我在iptables没找到对应 bt_ip_filter 的规则,手动添加也不行。
centos 7 系统,一般都用firewalld的ipset,我试了手动创建一个firewalld的ipset,然后添加一个drop规则,就管用。 您好!请问您这边是否解决问题了吗?还未解决的话这边建议重新发帖提问一下哦!感谢使用宝塔面板!
页:
[1]