Quando inicializei meu ufw pela primeira vez, fiz
ufw default allow outgoing
ufw default deny incoming
ufw allow 80/tcp
ufw allow 22/tcp
Durante a última semana, passei por meus registros de acesso e bani IPs que estão fazendo solicitações maliciosas no meu servidor
Eu faria isso usando
ufw deny from <ip>
Aqui está o meu ufw status verbose
All the IPs pasted here are from sick-filth spammers; take no pity on them
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80/tcp ALLOW IN Anywhere
22/tcp ALLOW IN Anywhere
Anywhere DENY IN 125.39.22.154
Anywhere DENY IN 222.124.200.250
Anywhere DENY IN 101.60.178.197
Anywhere DENY IN 115.184.115.200
Anywhere DENY IN 93.174.93.129
... more ips ...
80/tcp (v6) ALLOW IN Anywhere (v6)
22/tcp (v6) ALLOW IN Anywhere (v6)
Pergunta
O que estou percebendo é que as ações ALLOW são anteriores às ações DENY .
A ordem das regras realmente importa? Ou posso descansar pacificamente sabendo que o meu bloco de IP funcionou?
Pergunta secundária: Existe uma maneira mais eficaz de lidar com solicitações de spam do que manualmente os% de acesso de co-depuração / logs de erro para solicitações mal-intencionadas e o bloqueio desses IPs de solicitações futuras?
Does the order of the rules actually matter?
Sim, sim. Negar deve ser o primeiro. Exemplo
Is there a more effective way to handle spammy requests than manually
O fail2ban pode verificar logs e adicionar IPs a muitos tipos de sistemas de filtragem que correspondem a padrões definidos.