iptables -删除所有HTTP(S)流量，但来自CloudFlare

Question

我只允许来自CloudFlare的HTTP(S)流量。这样，攻击者就不能直接攻击服务器。我知道CloudFlare主要不是一个DDoS缓解器，但我想试一试。

我目前只能访问iptables (仅限ipv4)，但不久将尝试安装ip6tables。我只是需要尽快把这个修好。(我们得到(D)DoSed自动取款机。)

我在想这样的事情：

iptables -I INPUT -s <CloudFlare IP> --dport 80 -j ACCEPT
iptables -I INPUT -s <CloudFlare IP> --dport 443 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP

我知道CloudFlare有多个I，但只是举个例子。

这是正确的方法吗？

Answer 1

是的，那就行了。你也可以用！像这样否定：

iptables -I INPUT ! -s <cloud_flare ip> -p tcp --dport 80 -j DROP
iptables -I INPUT ! -s <cloud_flare ip> -p tcp --dport 443 -j DROP