[ 轻量级防火墙咨询 ]

2022-08-24 00:11:29 +08:00
 maobukui

后端做的一些接口部署服务器后,暴露在公网,经常有些恶意访问,比如访问一些不存在的 path 、短时间大量访问某个 path 等等,想根据一些条件禁用某些 ip 。

现在是否有轻量级的防火墙,比如可以 docker 部署,有 web 界面,可以自行配置一些规则,合法的请求透传后端,否则拒绝掉,ip 自动进黑名单等等。

以前通过 nginx 的 ip 黑名单简单进行了 block ,不过老是该配置文件,ip 多了,手动维护比较麻烦。 cloudflare 还没试,如果要国外转一圈,延迟会比较高。

1723 次点击
所在节点    服务器
8 条回复
HAWCat
2022-08-24 00:34:05 +08:00
fail2ban
Tink
2022-08-24 01:28:38 +08:00
pfsense ?
erhandsome
2022-08-24 04:56:03 +08:00
CrowdSec 试试
fuzzsh
2022-08-24 05:03:29 +08:00
USTC 有个公开监测列表 blackip.ustc.edu.cn

写个 script 定时拖下来就完事
datocp
2022-08-24 05:34:37 +08:00
搜索一下
iptables recent hacker
iptables knock door

设置陷阱,使用 ipset 的 timeout 实现动态封锁
iptables -S INPUT|grep ban
-A INPUT -i eth0.2 -m set --match-set banned_hosts src -j DROP
-A INPUT -i eth0.2 -p udp -m multiport --dports 80,161,5060 -j SET --add-set banned_hosts src
-A INPUT -i eth0.2 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts src
maobukui
2022-08-24 11:13:56 +08:00
@Tink pfsense 感谢,我之前也了解过,不过好像是只能 iso 系统安装的,我还是希望能和应用部署在同一台服务器,这个好像不行。
maobukui
2022-08-24 11:16:19 +08:00
@HAWCat 谢谢!这个之前也用过,我主要是用在 ssh 端口,有空也再深入了解下
whileFalse
2022-08-25 14:12:51 +08:00
研究下你用的云有没有提供 waf 吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/874928

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX