防火墙的一点点折腾

其实之前一直裸奔也没出现过什么问题，纯粹因为好奇折腾一下，记录在此～

fail2ban加强了对sshd攻击的防护，失败尝试次数少了很多。查看list，半个多月来ban了1000多个ip了。
nginx的conf文件配置了针对空userAgent、特殊bot、可疑userAgent的过滤，会返回403并记录到problem.log；然后有些奇怪的请求也会手动查看、添加关键词过滤，记录到problem.log
nginx的access日志还含有大量可疑请求，没法通过以上进行筛选，也不太可能通过403｜404状态进行fail2ban筛选。最后借用了>>ipsum<<的公共blacklist池子，重新开启了iptables，对ipsum中的ip直接拒绝。看网上有blog说，这个hash表速度更快，但是fail2ban更新会置于toplist，可能需要再设置一下规则顺序。
php服务器的乱七八糟请求很多，暂时通过nginx对静态资源进行了直接代理、而不再动态请求了，这样也方便过滤那些referer非本站的资源请求（虽然也可以伪装，但聊胜于无）。但是动态请求，目前暂时没想到什么办法。

以上。当然这些措施堪称是小丑把戏，在真正的攻击（希望不要有）面前不堪一击。现在每天到家，都有查看一下日志的冲动，看看又有哪些坏人乱敲门～

ipset -q flush ipsum ipset -q create ipsum hash:ip for ip in $(curl --compressed https://raw.githubusercontent.com/stamparm/ipsum/master/ipsum.txt 2>/dev/null | grep -v "#" | grep -v -E "\s[1-2]$" | cut -f 1); do ipset add ipsum $ip; done iptables -D INPUT -m set --match-set ipsum src -j DROP 2>/dev/null iptables -I INPUT -m set --match-set ipsum src -j DROP

扶苏

Sun 07/07/24 21:02:19 IP 属地：江苏省 / 苏州市

哇哦，看的似懂非懂~

回复
1. mgt
  
  Sun 07/07/24 21:06:16 IP 属地：上海市
  
  哈哈写的比较意识流一些
  
  回复
mgt

Mon 07/22/24 23:07:00 IP 属地：上海市
然后发现http跳转https又出现问题了，centos的firewalld和iptables真是奇怪的很，折腾排查了两周，上穷碧落下黄泉，最后解决办法还是重启大法：先systemctl unmask firewalld，再systemcl start firewalld，此时firewalld应该会覆盖之前的ipset和fail2ban的规则，测试http跳转https正常；然后先systemctl stop firewalld再systemctl mask firewalld，再重新配置ipset：
```
ipset -q flush ipsum
ipset -q create ipsum hash:ip
for ip in $(curl --compressed https://raw.githubusercontent.com/stamparm/ipsum/master/ipsum.txt 2>/dev/null | grep -v "#" | grep -v -E "\s[1-2]$" | cut -f 1); do ipset add ipsum $ip; done
iptables -D INPUT -m set --match-set ipsum src -j DROP 2>/dev/null
iptables -I INPUT -m set --match-set ipsum src -j DROP
```
并通过systemctl restart fail2ban重启fail2ban服务，终于OK
回复
1. mgt
  
  Tue 07/23/24 08:51:24 IP 属地：上海市
  
  为什么会出现这种情况呢？简单又测试了一下：
  iptables 和firewalld两个服务都可以管理防火墙，但不可以同时。这个“不可以”体现在它们会互相覆盖各自的规则。那么什么时候会覆盖呢？谁最后启动、或者重启，谁就覆盖对方、最终生效。
  现在来到了重启环节：iptables的规则crud是立即生效的、但如果没有保存的话它重启之后会清零，重启的结果是重新加载配置文件/etc/sysconfig/iptables，在这里面导入“默认规则”，而重启之前管理的规则会统统消失。所以，对iptables来说，重启即意味着加载/etc/sysconfig/iptables配置文件的规则，丢弃所有其他的设置。
  firewalld服务通过fiewall-cmd来操作，它对规则的crud不是立即生效的，需要--reload来生效，但它对规则的保存是持久化的——所以，对于firewalld来说，重启之后会一直保存原来所有的规则设置、而无需担心清零问题。
  问题就在于这里，由于需要通过ipset+iptables来使用公共的ip blacklist，iptables与firewalld就只能选择前者，但前者的配置中，有两条80转8090的规则，分别写在了preroute和output里，它们会在流量到达nginx之前直接进行端口转发，nginx的配置生效才怪呢！而且只要iptables重启，这俩规则就会重新加载，而之前测试通过firewalld误打误撞的清掉了这两条规则——这样nginx的转发就起作用了。
  那么是怎么发现这两条规则写在iptables的配置文件里的呢？iptables-save会把所有规则输出到控制台，就可以看到了，而单纯的iptables -nvL却不会显示这！！！
  那为什么没有早一点发现呢？我记得之前曾经通过iptables直接删除过相关规则（详见https://blog.zhuyu.xyz/archives/99/），但这是firewalld的转发规则、到8080，操作即删除；但iptables也配置了转发，却是到8090，而且写到了配置文件里233333。
  最后还有一个bug，那就是如果iptables同时使用ipset和fail2ban，而fail2ban的配置文件中从第二条开始添加规则的话（也就是放在ipset之后），就涉及到操作顺序：重启iptables之后必须先配置ipset再配置fail2ban，否则后者就无法正确导入ip规则，这个萝卜坑暂时不想挖了。
  
  回复
Asteri5m

Sat 07/27/24 00:14:32 IP 属地：四川省 / 成都市

夺少？半个月ban1000多个，我开了几个月才十多个

回复
1. Asteri5m
  
  Sat 07/27/24 00:31:17 IP 属地：四川省 / 成都市
  
  我想我大概知道了，PHP框架，被打是正常的，深呼吸，头晕是正常的O(∩_∩)O哈哈哈哈哈哈哈~
  
  回复
  1. mgt
    
    Sat 07/27/24 00:50:56 IP 属地：上海市
    
    😂到今天已经1800个了，这还没算上ipsum那个黑名单，这增长势头一点也没减弱23333333
    可能ip易查+默认root也有关系（好了，不能说更多了哈哈……）