1,拒绝所有主机ping当前主机

iptables -I INPUT -p icmp –icmp-type 8 -j REJECT

2,本机能访问http服务,别的主机无法访问本机。

iptables -I INPUT -p tcp -m multiport –dports 8080,8088,8888,443 -j REJECT

3,发现有ip恶意攻击,通过防火墙规则进行控制,如何操作

如果监控发现web服务器的cpu,负载突然增高,排除用户访问量大的情况,可能就受到了攻击,先分析下日志,统计下受到攻击1小时内的访问量

awk ‘/19/Sep/2020:16/{IPS[$1]++}END{for (i in IPS){print i,IPS[i]}}’ /var/log/nginx/access.log

如果是单IP攻击,就限制此IP连接次数:

iptables -I INPUT -s 47.93.224.193 -m connlimit –connlimit-above 20 -p tcp -m multiport –dports 80,443 -j ACCEPT

4,需求

搭建方案:

因为是自己是在外网环境,和防火墙的外网是可以互相连通的,然而防火墙为了局域网内部安全考虑,会将内部服务器隔离起来,如果要实现外部访问,可以开放ssh端口,虽然可以针对外网员工开放规则,但是外网员工的IP地址是变化IP,那么就需要多次修改,增加管理负担和安全风险。

为了安全和管理方便,我们可以搭建vpn隧道,让员工,通过密钥证书的方式连接,管理服务器。

我们采用openvpn和easy-rsa结合iptables去搭建vpn隧道

详情可以参见我的个人博客:http://www.wanhao.online/?p=297