套了 cdn,打算 drop 所有除了 cdn 以外的 80/443 访问,会不会对系统资源消耗过大?
This topic created in 2651 days ago, the information mentioned may be changed or developed.
 |
1
smileawei Feb 8, 2019 via iPhone  1
源站前套一个 nginx 然后把 CDN 的回源服务商 ip 加到白名单,何必用 iptables 做。
|
 |
2
alvin666 OP @smileawei 我已经这样做了,但是躲不住扫全网 ipv4 443 抓证书,censys 和 myssl 都能查到这样的站的源 ip
所以要用 iptables drop 所有除了 cdn 的链接。 |
 |
3
mason961125 Feb 8, 2019 1
iptables 就是在 netfilter 里加规则,netfilter 是内核自己带的,就看你规则怎么写了。
|
|
4
alvin666 OP @mason961125 规则打算就是 443 端口 whitelist cdn 的 ip,其余的 drop,会消耗 cpu 很多吗
|
|
5
mason961125 Feb 8, 2019 1
@alvin666 #4 不会啊,规则不匹配就直接 drop 了哪来的消耗呢。
|
|
7
alvin666 OP @des 我也做了...
但是还是感觉不太放心,如果我是攻击者,源 ip 被我从其他地方知道了(如 xss )我在 hosts 里面设置域名指向源 ip,然后访问,也能抓到包含域名的证书 所以要么源站 http 要么 iptables drop cdn 以外的 ip |
 |
8
mgcnrx11 Feb 8, 2019 via iPhone 1
感觉 netfilter 比 ng 效率高才对嘛,毕竟在内核就过滤了啊
|
 |
10
uyhyygyug1234 Feb 8, 2019 3
https://blog.cloudflare.com/how-to-drop-10-million-packets/
楼主可以看下 cloudflare,iptables 比应用上丢强点,但是它上了 eXpress Data Path, 每秒能丢 10M 个包。 iptables DROP in PREROUTING 是 1.688mpps。 |
|
11
alvin666 OP @uyhyygyug1234 谢谢,一会有空我看看
我套的就是 cf 2333 |
 |
12
ForgotFun Feb 9, 2019
可以用 ipset 配合 iptables,效率会更高点。
|
 |
13
watzds Feb 9, 2019 via Android
你试试不就知道了,用工具生成流量
应该是没问题的 |
Select Language