我运行一些独特的防火墙设置使用rackspace提供的各种东西(负载平衡器和云,我已经安装了鱿鱼代理http请求通过云)。 我的设置几乎可以阻止除HTTP洪水以外的所有攻击。 问题是,我没有通过SSH访问负载平衡器来告诉它阻止攻击IP,当它到达云时,连接IP就是负载平衡器。 但是,负载均衡器会在头中发送客户端IP。 有什么办法可以让我的防火墙从头文件中读取(并阻止)ips?
在负载平衡器上使用CentOS6.0
你不能有意义地让iptables防火墙系统从HTTP层读取内容和块。 有一些“七层”匹配模块,但它们通常既不是很好的select,也不合理的支持。
问题的一部分是头部可能有三到五个数据包从最初的连接线开始,而且你必须保持很多状态才能确定它来自哪里。 (除非负载均衡器把它放在一个IP选项或者其他东西中,否则它可能不会)。
使用诸如fail2ban之类的许多工具之一,处理日志查找违规内容,然后添加iptables规则,或者 – 有用地执行其他一些操作(例如尽可能获得上游阻止的攻击),将会更好。
如果你不能阻止你的系统的攻击,那么你最好做的就是在你的系统上在networking服务器和负载均衡器之间放置一些代理,然后让它向前 – 但是只有当攻击不是敌对的。
这仍然花费大量,但至less它保护您的应用程序服务器免受有害的请求,并给你一个更简单的系统来操作。