【已解答】nginx防火墙封锁功能没实质作用，形同虚设

nginx防火墙封锁功能没实质作用，形同虚设被封锁的ip照样给服务器带来请求，使服务器直接瘫痪
如图：被封锁的ip不停的给服务器请求，虽然服务器在接收到封锁ip后会用444断掉链接，但是这样已经使服务器资源耗尽

Xeath · 发表于 2022-12-18 21:24:10

444 就是这样的，因为在网络层上还是会重新进行握手链接，之后再进入应用层由 nginx 发起主动断开链接，这个过程就会产生资源消耗（nginx 子进程执行 lua 脚本），所以需要配合防火墙，官方有建议搭配 fail2ban 进行封锁，留意一下相关页面上的设置提示哦。

南南呦 · 发表于 2022-12-19 09:33:19

您好，如一楼描述的那样nginx防火墙作为应用层防火墙，处理攻击也是要消耗服务器资源，所以需要配合系统防火墙使用。

71268126 · 发表于 2022-12-19 16:24:57

Xeath 发表于 2022-12-18 21:24
444 就是这样的，因为在网络层上还是会重新进行握手链接，之后再进入应用层由 nginx 发起主动断开链接，这 ...

如果是这样的封锁只是让资源占用减少，虽然也能起到作用。但是做为防火墙使用的话，这个功能比起其他防火墙软件就差了这一点了。其他防火墙如云锁、安全狗等都是封锁就是直接访问不了的，不会再占用资源了。只有这样面对Cc攻击才能防住，现在宝塔的防御实际上是防不住CC攻击，就好比我服务器一样，封锁了几百个ip，这几百个ip不停的再444，服务器照样瘫痪。
不看过程的话就是：封锁=服务器照样瘫痪
个人建议

运维风光 · 发表于 2022-12-19 16:40:50

71268126 发表于 2022-12-19 16:24
如果是这样的封锁只是让资源占用减少，虽然也能起到作用。但是做为防火墙使用的话，这个功能比起其他防火 ...

您好，已经反馈开发，如果有其他疑问或者建议直接联系我们的开发QQ：1249648969

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	A14招租，联系qq394030111	【恒爱云】香港低至8元1核1G2M