标签:icmp 结合 开放 用户访问 需求 port 连接 环境 安全
1,拒绝所有主机ping当前主机iptables -I INPUT -p icmp –icmp-type 8 -j REJECT
2,本机能访问http服务,别的主机无法访问本机。
iptables -I INPUT -p tcp -m multiport –dports 8080,8088,8888,443 -j REJECT
3,发现有ip恶意***,通过防火墙规则进行控制,如何操作
如果监控发现web服务器的cpu,负载突然增高,排除用户访问量大的情况,可能就受到了***,先分析下日志,统计下受到***1小时内的访问量
awk ‘/19\/Sep\/2020\:16/{IPS[$1]++}END{for (i in IPS){print i,IPS[i]}}’ /var/log/nginx/access.log
如果是单IP***,就限制此IP连接次数:
iptables -I INPUT -s 47.93.224.193 -m connlimit –connlimit-above 20 -p tcp -m multiport –dports 80,443 -j ACCEPT
4,需求
搭建方案:
因为是自己是在外网环境,和防火墙的外网是可以互相连通的,然而防火墙为了局域网内部安全考虑,会将内部服务器隔离起来,如果要实现外部访问,可以开放ssh端口,虽然可以针对外网员工开放规则,但是外网员工的IP地址是变化IP,那么就需要多次修改,增加管理负担和安全风险。
为了安全和管理方便,我们可以搭建***隧道,让员工,通过密钥证书的方式连接,管理服务器。
我们采用open***和easy-rsa结合iptables去搭建***隧道
详情可以参见我的个人博客:http://www.wanhao.online/?p=297
标签:icmp 结合 开放 用户访问 需求 port 连接 环境 安全
原文地址:https://blog.51cto.com/13434656/2536176
