Вопросы Теги

Блокирование соединения на основе HTTP-заголовка

Я не полагаю, что это было бы правилом, но вместо этого будет маршрутом NAT. Вы могли установить маршрут NAT для чего-либо из 10.10.12.0/25 сети для выхода NIC WAN, и что-либо из 10.10.12.128/25 сети выйдет OPT1 NIC. Проверьте вкладку Firewall/NAT.

2
задан 18 February 2012 в 06:28
1 ответ

Невозможно заставить систему межсетевого экрана iptables читать содержимое уровня HTTP и блокировать его. Есть несколько модулей согласования «уровня 7», но они, как правило, не являются хорошим выбором или разумно поддерживаемыми.

Частично проблема здесь в том, что заголовок, вероятно, составляет от трех до пяти пакетов вниз по линии от начального соединения, и вы должны поддерживать много состояния, чтобы понять, откуда оно взялось. (Если только балансировщик нагрузки не включит его в параметр IP или что-то в этом роде, а это, вероятно, не так.)

Вам будет лучше с одним из многих инструментов, таких как fail2ban , которые обрабатывают журналы в поисках нарушения content, затем добавьте правила iptables или - что полезно - выполните другое действие,

2
ответ дан 3 December 2019 в 12:01

Теги

Похожие вопросы