首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >iptable规则有时只起作用

iptable规则有时只起作用
EN

Ask Ubuntu用户
提问于 2015-06-16 14:35:23
回答 1查看 1.2K关注 0票数 0

我阻止了一个发送给我大量UDP数据包的攻击者IP。

-I输入1 -s IP_OF_ATTACKER -j下拉列表

这条规则很有效。

代码语言:javascript
复制
iptables -nvL --line-numbers

22G .交通堵塞2-3天:

代码语言:javascript
复制
num   pkts bytes target     prot opt in     out     source               destination
1    3203K   22G DROP       all  --  *      *       ATTACKER_IP          0.0.0.0/0

然而,从最后2-3天开始,这个规则就不再起作用了。攻击者正在发送UDP数据包,iptable没有阻止它们。

代码语言:javascript
复制
num   pkts bytes target     prot opt in     out     source               destination
1     707K 3553M DROP       all  --  *      *       ATTACKER_IP         0.0.0.0/0

可能是什么原因?

PS:请不要建议联系主机提供商,如果他们有任何帮助,我不会在这里:)

编辑

我使用wireshark/tcpdump来分析/捕获数据包。它显示所有的数据包都是UDP。我使用iptables命令(如前所述)查看iptables规则阻塞了多少数据。上面是iptables阻止的数据的输出。当iptable阻塞所有数据时,我们的服务器正常工作。

代码语言:javascript
复制
**IP Table rules**
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*raw
:PREROUTING ACCEPT [8393:667810]
:OUTPUT ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*nat
:PREROUTING ACCEPT [2517:112725]
:INPUT ACCEPT [2517:112725]
:OUTPUT ACCEPT [1018:179752]
:POSTROUTING ACCEPT [1018:179752]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*mangle
:PREROUTING ACCEPT [8393:667810]
:INPUT ACCEPT [8393:667810]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7043:795032]
:POSTROUTING ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*filter
:INPUT ACCEPT [23:1500]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18:2068]
:fail2ban-ssh - [0:0]
-A INPUT -s xx.xxx.xx.xx/32 -j DROP
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
EN

回答 1

Ask Ubuntu用户

发布于 2015-06-16 18:33:04

我不完全理解你的iptable列表,也不完全理解它是如何出现的。但是,似乎确实有nat和mangle表,因此完全可以想象,您的问题包不遍历正常的输入链,而是在预出阶段通过另一条路径(顺便说一下,每个连接只遍历一次)通过iptables来定向。您可以尝试添加:

代码语言:javascript
复制
sudo iptables -t raw -A PREROUTING -s IP_OF_ATTACKER -j DROP

我是在我的测试计算机上这样做的,它似乎运行得很好:

代码语言:javascript
复制
$ sudo iptables-save -c
# Generated by iptables-save v1.4.21 on Tue Jun 16 11:12:51 2015
*raw
:PREROUTING ACCEPT [40:2664]
:OUTPUT ACCEPT [33:4520]
[31:2696] -A PREROUTING -s 192.168.111.103/32 -j DROP
COMMIT
# Completed on Tue Jun 16 11:12:51 2015
# Generated by iptables-save v1.4.21 on Tue Jun 16 11:12:51 2015
*nat
:PREROUTING ACCEPT [15:1344]
...

注意:我在你的Ubuntu论坛发帖上发布了同样的答案。

票数 0
EN
页面原文内容由Ask Ubuntu提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://askubuntu.com/questions/637188

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档