论坛 › BUG提交 › 【已解答】强烈建议将nginx防火墙封锁的IP，禁止所有协议。

昨天的王者 发表于 2022-10-18 13:24:33

【已解答】强烈建议将nginx防火墙封锁的IP，禁止所有协议。

强烈建议将nginx防火墙封锁的IP，禁止所有协议。

1、现在的情况是被防火墙封锁的IP，只是由nginx返回了错误代码，tcp、icmp、udp之类的都是正常响应，虽然减少了一些资源占用，但是遇到较大的CC攻击，会占用非常高的tcp连接，导致响应异常。

2、之前发过一贴，你们的回复是封锁的IP已经加到ipset了，但实际测试几台centos 7服务器，都只是在nginx封锁，服务器依然接受tcp连接、依然可以ping通服务器。在centos 7系统上，应该使用firewalld的ipset，而不是现在的ipset + iptables ，在实际测试中firewalld下的ipset是有效的。

运维风光 发表于 2022-10-18 15:14:53

您好，
只要在ipset 里面就已经封锁了。tcp链接在的因为还没有到timeout的时间。
把其他的的协议加入进去，暂时不会加入。
暂时是封锁了那个IP对80 和443端口的访问

昨天的王者 发表于 2022-10-18 20:47:47

运维风光 发表于 2022-10-18 15:14
您好，
只要在ipset 里面就已经封锁了。tcp链接在的因为还没有到timeout的时间。
把其他的的协议加入进去， ...

针对你说的封锁IP后是封锁了那个IP对服务器80、443端口的访问这一说法。

实测发现，被封锁的IP对服务器进行80、443端口tcping测试，依然是通的。虽然获取不到网站内容，但是这样是不是可以理解为针对网站的CC攻击在被封锁后，变成了普通的TCP攻击？只要并发足够大，就可造成服务瘫痪。




前段时间遇到了因为这个导致的服务器瘫痪，发现被封锁的IP，依然长期占用tcp连接和带宽，由于并发很大，导致服务器最终也是瘫痪的，直到我把这些封锁的IP，手动在 firewalld 里面 drop 掉，才得以恢复。

不清楚你们是否明白我的意思，我再总结下吧：

nginx防火墙封掉的是http的正常内容，nginx的活动连接依然非常高，因为依然在响应，被封锁的IP虽然得不到http内容，但tcp依然是允许的，会继续占用大量tcp资源、带宽资源，只要攻击量比较大，服务器最终也是瘫痪（带宽被挤满）。

宝塔技术-小强 发表于 2022-10-19 10:26:35

我拿了一台Centos7.9 的机器做测试




IPset 已经绑定上去了。

你可以通过命令查看他是否允许正常。如果iptables 锁的情况下也是有可能发生的
/etc/init.d/bt_ipfilter status

宝塔技术-小强 发表于 2022-10-19 10:28:10

ipset 的使用。还需要保准防火墙是启动状态

昨天的王者 发表于 2022-10-19 22:54:45

宝塔技术-小强 发表于 2022-10-19 10:26
我拿了一台Centos7.9 的机器做测试




这边的情况是这样的：

1、/etc/init.d/bt_ipfilter status 的状态是运行中。
2、firewalld的状态也是运行中。
3、封锁的IP在 ipset list 命令里也能查到。

但封锁的IP除了nginx上的网站无法访问以外，其他都是通的（tcp通，icmp通，宝塔面板也可以正常访问）。

另外，你说的 ipset 的使用需要确保防火墙是启动状态，是指的 firewalld 还是 iptables ？centos 7 默认是 firewalld。

运维风光 发表于 2022-10-20 11:44:22

昨天的王者 发表于 2022-10-19 22:54
这边的情况是这样的：

1、/etc/init.d/bt_ipfilter status 的状态是运行中。


您好，封锁了80和443端口的访问，其他端口是可以访问的
firewalld 底层也是使用iptables的。

昨天的王者 发表于 2022-10-20 13:34:01

运维风光 发表于 2022-10-20 11:44
您好，封锁了80和443端口的访问，其他端口是可以访问的
firewalld 底层也是使用iptables的。 ...

现在的情况是封锁IP后，80和443端口 tcping测试都是通的。

部署过两个centos 7系统，都是封锁IP后，tcping测试80和443端口通的。

运维风光 发表于 2022-10-20 14:39:40

昨天的王者 发表于 2022-10-20 13:34
现在的情况是封锁IP后，80和443端口 tcping测试都是通的。

部署过两个centos 7系统，都是封锁IP后，tcpi ...

您好，可以给您的信息我们检查下吗？
将您的服务器ssh信息，面板登录资料按照下面的格式发到这个邮箱：
1096308852@qq.com
服务器先做快照备份。
我会排查看下是什么问题

格式(必须复制帖子链接，不然不知道邮件来源)：

帖子标题(遇到什么问题)：
帖子链接：https://www.bt.cn/bbs/thread-xxxxxxxx
SSH账号密码及端口（Windows服务器请发送远程连接）：
宝塔面板登录链接地址及账号密码：


可能需要排队，将在3个工作日内处理，请耐心等待

71268126 发表于 2022-12-17 13:17:18

同样的问题封锁了的ip，照样攻击我的服务器，封锁就一点用都没有

运维风光 发表于 2022-12-17 16:20:34

71268126 发表于 2022-12-17 13:17
同样的问题封锁了的ip，照样攻击我的服务器，封锁就一点用都没有

您好，nginx防火墙生效了吗？模拟测试下，使用的版本是多少？

71268126 发表于 2022-12-19 16:15:16

运维风光 发表于 2022-12-17 16:20
您好，nginx防火墙生效了吗？模拟测试下，使用的版本是多少？

肯定生效啊。我的问题跟楼主的问题一样。我发了一个帖子，你可以看一下，有截图

运维风光 发表于 2022-12-20 09:10:29

其他帖子已回复

查看完整版本: 【已解答】强烈建议将nginx防火墙封锁的IP，禁止所有协议。