【待反馈】系统防火墙无法禁止IP

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：

Linux正式版8.2.0

系统版本：

问题描述：

宝塔面板->安全->系统防火墙->IP规则，设置策略禁止IP，IP依旧可以访问

相关截图（日志、错误）：

您好，您这边测试一下使用ip规则机器访问后，您的api中是否有这个ip，去掉后清理下浏览器缓存

运维技术阿闯 发表于 2024-6-20 09:52
您好，您这边测试一下使用ip规则机器访问后，您的api中是否有这个ip，去掉后清理下浏览器缓存 ...

我也遇到过，目前的防火墙是添加禁止访问IP规则后不能即时拦截，要过好久才行，如果是CC攻击，只能通过服务器安全组封禁，宝塔的防火墙添加后无法即时生效

宝塔用户_oscxpg 发表于 2024-6-20 10:15
我也遇到过，目前的防火墙是添加禁止访问IP规则后不能即时拦截，要过好久才行，如果是CC攻击，只能通过服 ...

您好，您修复一下面板后再看一下，这边测试的是可以拦截的

运维技术阿闯 发表于 2024-6-20 11:56
您好，您修复一下面板后再看一下，这边测试的是可以拦截的

IP规则无法即时拦截的问题，从7.9版本就有，升级到8.2了依然存在，你们测试试一下CC攻击的IP，不要先把CC的IP加入到“安全——防火墙规则”里，让CC的IP一直处于CC状态，在CC状态下，把 CC的IP加入到“安全——防火墙规则”里，这样去测试，一定无法即时拦截

宝塔用户_oscxpg 发表于 2024-6-21 08:38
IP规则无法即时拦截的问题，从7.9版本就有，升级到8.2了依然存在，你们测试试一下CC攻击的IP，不要先把CC ...

您好，您说的这个一定无法及时拦截是指？这边测试nginx防火墙中cc规则，然后添加了安全里边的ip规则。这边查看还是可以防御的

运维技术阿闯 发表于 2024-7-1 09:12
您好，您说的这个一定无法及时拦截是指？这边测试nginx防火墙中cc规则，然后添加了安全里边的ip规则。这 ...

我遇到是这样的情况，比如：某个IP从凌晨1点-3点开始集中批量访问，每小时大概1万次左右，4点-8点访问频率下降，大概每小时1000次左右，但是从1点到8点是持续访问中的。假如8:30分发现这个恶意访问的IP，并立即把这个IP加入到“IP防火墙规则”中，添加成功后，你会发现，这个被加入到防火墙规则IP，在8:35分的时候仍然可以低频访问。
如下图：
2024-07-01 21:54:12--通过防火墙规则禁用“218.190.230.229”（右图），截止到2024:22:04:44（左图第一红框），该IP仍可正常访问，返回值200。
2024:22:05:43和2024:22:06:43，该IP仍在访问，但返回403，原因是将该IP加入到了第三方waf的黑名单中（如下图）。

2024:22:07，将该IP加入到服务器安全组拦截（如下图），故之后网站日志中不再显示该IP

宝塔用户_oscxpg 发表于 2024-7-1 22:38
我遇到是这样的情况，比如：某个IP从凌晨1点-3点开始集中批量访问，每小时大概1万次左右，4点-8点访问频率 ...

您好，安全是基于您的系统防火墙的，这个的话暂时无法确定，WAF的是出发了拦截，然后就是会显示403
估计应该是系统防火墙没拦截住

运维技术阿闯 发表于 2024-7-2 09:59
您好，安全是基于您的系统防火墙的，这个的话暂时无法确定，WAF的是出发了拦截，然后就是会显示403
估计 ...

是这样，系统防火墙一直都存在这个问题，关键时刻起不到任何作用，提前预防的话还行，包括“地区规则”也是一样，根本不起作用

宝塔用户_oscxpg 发表于 2024-7-2 11:13
是这样，系统防火墙一直都存在这个问题，关键时刻起不到任何作用，提前预防的话还行，包括“地区规则” ...

您好，这个问题的话，因为面板安全是基于系统防火墙设置的，只是一个快捷的设置界面