ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全文章 → 使用iptables实现服务器WAF功能

使用iptables实现服务器WAF功能

时间:2018-10-28 00:01:46人气:作者:本站作者我要评论

使用iptables实现服务器WAF功能

简要说明

iptables工作在主机层面,对于进出的网络或者主机的数据报文,根据事先设定好的检查规则对其检查,并作出相应的处理。

配置与使用

iptables拦截ip

安装Apache进行测试

  1. # 拦截ip
  2. iptables -A INPUT -p tcp --dport 80 -s 192.168.199.1 -j DROP
  3. # 删除拦截
  4. iptables -D INPUT -p tcp --dport 80 -s 192.168.199.1 -j DROP

利用ipset进行批量IP拦截

  1. # 创建ip集
  2. ipset create bloodzer0 hash:ip
  3. # 查看ip集
  4. ipset list
  5. # 添加成员
  6. ipset add bloodzer0 ip
  7. # 删除成员
  8. ipset del bloodzer0 ip
  9. # 将ipset保存为文件
  10. ipset save bloodzer0 -f bloodzer0.txt
  11. # iptables与ipset结合
  12. iptables -A INPUT -m set --match-set bloodzer0 src -p tcp --dport 80  -j DROP

问题思考

iptables封禁IP,是封禁的直连IP,也就是直接与服务器通信的IP。但是我们一般的网络架构是:CDN--SLB--Server 或者 CDN--Server,这个时候我们使用上面的方式就失效了,所以我们采用新的方式:根据XFF来封禁IP。

根据XFF+iptables封禁IP

  1. iptables -A INPUT -p tcp --dport 80 -m string --algo kmp --string "X-Forwarded-For: IP" -j DROP

根据这种方式就不能使用ipset,所以如果是业务量很大的时候,不建议采用这种方式,因为一个IP一条规则,而iptables会针对每一个进来的数据包进行分析,我测试过一台2核16G的服务器,在规则数量达到2000以上的时候,业务量稍微一大,服务器CPU容易飙到90%以上。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网