iptable规则有时只起作用

Question

我阻止了一个发送给我大量UDP数据包的攻击者IP。

-I输入1 -s IP_OF_ATTACKER -j下拉列表

这条规则很有效。

iptables -nvL --line-numbers

22G .交通堵塞2-3天：

num   pkts bytes target     prot opt in     out     source               destination
1    3203K   22G DROP       all  --  *      *       ATTACKER_IP          0.0.0.0/0

然而，从最后2-3天开始，这个规则就不再起作用了。攻击者正在发送UDP数据包，iptable没有阻止它们。

num   pkts bytes target     prot opt in     out     source               destination
1     707K 3553M DROP       all  --  *      *       ATTACKER_IP         0.0.0.0/0

可能是什么原因？

PS:请不要建议联系主机提供商，如果他们有任何帮助，我不会在这里:)

编辑

我使用wireshark/tcpdump来分析/捕获数据包。它显示所有的数据包都是UDP。我使用iptables命令(如前所述)查看iptables规则阻塞了多少数据。上面是iptables阻止的数据的输出。当iptable阻塞所有数据时，我们的服务器正常工作。

**IP Table rules**
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*raw
:PREROUTING ACCEPT [8393:667810]
:OUTPUT ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*nat
:PREROUTING ACCEPT [2517:112725]
:INPUT ACCEPT [2517:112725]
:OUTPUT ACCEPT [1018:179752]
:POSTROUTING ACCEPT [1018:179752]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*mangle
:PREROUTING ACCEPT [8393:667810]
:INPUT ACCEPT [8393:667810]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7043:795032]
:POSTROUTING ACCEPT [7043:795032]
COMMIT
# Completed on Mon Jun 15 23:26:40 2015
# Generated by iptables-save v1.4.21 on Mon Jun 15 23:26:40 2015
*filter
:INPUT ACCEPT [23:1500]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18:2068]
:fail2ban-ssh - [0:0]
-A INPUT -s xx.xxx.xx.xx/32 -j DROP
COMMIT
# Completed on Mon Jun 15 23:26:40 2015

Answer 1

我不完全理解你的iptable列表，也不完全理解它是如何出现的。但是，似乎确实有nat和mangle表，因此完全可以想象，您的问题包不遍历正常的输入链，而是在预出阶段通过另一条路径(顺便说一下，每个连接只遍历一次)通过iptables来定向。您可以尝试添加：

sudo iptables -t raw -A PREROUTING -s IP_OF_ATTACKER -j DROP

我是在我的测试计算机上这样做的，它似乎运行得很好：

$ sudo iptables-save -c
# Generated by iptables-save v1.4.21 on Tue Jun 16 11:12:51 2015
*raw
:PREROUTING ACCEPT [40:2664]
:OUTPUT ACCEPT [33:4520]
[31:2696] -A PREROUTING -s 192.168.111.103/32 -j DROP
COMMIT
# Completed on Tue Jun 16 11:12:51 2015
# Generated by iptables-save v1.4.21 on Tue Jun 16 11:12:51 2015
*nat
:PREROUTING ACCEPT [15:1344]
...

注意:我在你的Ubuntu论坛发帖上发布了同样的答案。