我開始看到新的IP添加到INPUT鏈與拒絕「reject-with icmp-port-unreachable」,但它是不清楚是誰加了他們,我可以在哪裏阻止。新IP被添加到IPTABLES INPUT REJECT與「reject-with icmp-port-unreachable」從不知所云
目前尚不清楚哪個系統正在創建這些規則。 我們在APP中沒有使用這種「REJECT」規則,我們只使用DROP規則。 這些是一個神祕的。
有些想法他們是如何出現在這裏的?
REJECT目標拒絕數據包。如果您未指定要拒絕的ICMP消息,則默認情況下服務器將發回ICMP端口不可達(類型3,代碼3)。
閱讀iptables文檔以理解每個動作的作用是明智的(-j DROP vs. -j REJECT)。
所以你沒有創建防火牆添加這些規則你,因爲你最有可能使用的-j拒絕,而不是的-j DROP標誌。
作爲一個基本的規則,你應該使用-j拒絕你的本地網絡和-j DROP來打擊你的服務器。使用REJECT規則時,會發送ICMP數據包,指示端口不可用。所以你的服務器可能會暴露。
要回答你的問題,你自己的防火牆創建了這些規則。
我只是意識到有人已經改變了從DROP到REJECT的防火牆切換的行爲 –
那麼這就是你的答案:)我很高興它的工作原理! –
您是否在服務器上使用自定義防火牆,如CSF?或者,也許你正在使用fail2ban或任何其他類似的工具?! –
我用我寫的DDOS防火牆。這些記錄不是來自該軟件。 我從來沒有在我的規則中使用「reject-with icmp-port-unreachable」。 –
是否有任何日誌需要檢查有關WHO或WHAT插入該規則? –