V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
maobukui
V2EX  ›  服务器

[ 轻量级防火墙咨询 ]

  •  
  •   maobukui · 99 天前 · 1123 次点击
    这是一个创建于 99 天前的主题,其中的信息可能已经有所发展或是发生改变。

    后端做的一些接口部署服务器后,暴露在公网,经常有些恶意访问,比如访问一些不存在的 path 、短时间大量访问某个 path 等等,想根据一些条件禁用某些 ip 。

    现在是否有轻量级的防火墙,比如可以 docker 部署,有 web 界面,可以自行配置一些规则,合法的请求透传后端,否则拒绝掉,ip 自动进黑名单等等。

    以前通过 nginx 的 ip 黑名单简单进行了 block ,不过老是该配置文件,ip 多了,手动维护比较麻烦。 cloudflare 还没试,如果要国外转一圈,延迟会比较高。

    8 条回复    2022-08-25 14:12:51 +08:00
    HAWCat
        1
    HAWCat  
       99 天前 via iPhone
    fail2ban
    Tink
        2
    Tink  
       99 天前 via Android
    pfsense ?
    erhandsome
        3
    erhandsome  
       99 天前
    CrowdSec 试试
    fuzzsh
        4
    fuzzsh  
       99 天前 via Android   ❤️ 1
    USTC 有个公开监测列表 blackip.ustc.edu.cn

    写个 script 定时拖下来就完事
    datocp
        5
    datocp  
       99 天前 via Android
    搜索一下
    iptables recent hacker
    iptables knock door

    设置陷阱,使用 ipset 的 timeout 实现动态封锁
    iptables -S INPUT|grep ban
    -A INPUT -i eth0.2 -m set --match-set banned_hosts src -j DROP
    -A INPUT -i eth0.2 -p udp -m multiport --dports 80,161,5060 -j SET --add-set banned_hosts src
    -A INPUT -i eth0.2 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts src
    maobukui
        6
    maobukui  
    OP
       99 天前
    @Tink pfsense 感谢,我之前也了解过,不过好像是只能 iso 系统安装的,我还是希望能和应用部署在同一台服务器,这个好像不行。
    maobukui
        7
    maobukui  
    OP
       99 天前
    @HAWCat 谢谢!这个之前也用过,我主要是用在 ssh 端口,有空也再深入了解下
    whileFalse
        8
    whileFalse  
       98 天前 via iPhone
    研究下你用的云有没有提供 waf 吧
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4568 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 09:33 · PVG 17:33 · LAX 01:33 · JFK 04:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.