【已解答】宝塔nginx防火墙的问题和建议

我发现当网站遭遇CC攻击时，封了IP后，被封IP的请求依然可以得到nginx的响应（响应了错误状态码），这样的封IP机制导致被封IP的请求依然会占用nginx连接，当遭遇大并发CC攻击的时候，虽然CPU和内存占用不多，但大量的TCP连接将占用大量的带宽，导致网站无法正常访问。

我处理这个问题的笨办法是将nginx防火墙封掉的IP导出，再重新添加到firewalld的禁止列表中。

像这样：
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="8.8.8.8" drop'

总结：被封的IP不应该继续响应，而是直接丢弃，不建立连接，防止利用此问题进行流量攻击。

大炮运维V587 · 发表于 2022-9-12 10:59:27

您好，现在新版本的防火墙是把ip黑名单放到了ipset中的黑名单里了，是无法建立tcp、udp链接的

宝塔用户_rkuvoj · 发表于 2022-9-12 20:23:28

大炮运维V587 发表于 2022-9-12 10:59
您好，现在新版本的防火墙是把ip黑名单放到了ipset中的黑名单里了，是无法建立tcp、udp链接的
...

现在最新版的防火墙版本是多少呀，我看看我服务器是不是最新的去

昨天的王者 · 发表于 2022-9-13 15:17:37

大炮运维V587 发表于 2022-9-12 10:59
您好，现在新版本的防火墙是把ip黑名单放到了ipset中的黑名单里了，是无法建立tcp、udp链接的
...

被封的IP确实是在ipset列表，但仅仅是无法访问nginx上面的网站，被封的IP依然能ping通服务器IP，依然能访问宝塔面板，用tcping测试，端口的tcp依然是有响应的

大炮运维V587 · 发表于 2022-9-13 21:31:26

昨天的王者发表于 2022-9-13 15:17
被封的IP确实是在ipset列表，但仅仅是无法访问nginx上面的网站，被封的IP依然能ping通服务器IP，依然能访 ...

在网络层就把请求拦截了，不会到的，你确定下ip是否正确？

昨天的王者 · 发表于 2022-9-13 23:08:00

大炮运维V587 发表于 2022-9-13 21:31
在网络层就把请求拦截了，不会到的，你确定下ip是否正确？

确定IP没问题，另外，独立的ipset得配合iptables来禁IP吧？我在iptables没找到对应 bt_ip_filter 的规则，手动添加也不行。

centos 7 系统，一般都用firewalld的ipset，我试了手动创建一个firewalld的ipset，然后添加一个drop规则，就管用。

运维风光 · 发表于 2022-9-21 17:33:13

您好！请问您这边是否解决问题了吗？还未解决的话这边建议重新发帖提问一下哦！感谢使用宝塔面板！

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M