Eu vejo muitas conexões estabelecidas para o meu servidor apache a partir do ip 188.241.114.22 que eventualmente faz com que o apache seja interrompido. Depois que eu reiniciar o serviço tudo funciona bem. Eu tentei adicionar uma regra no iptables
-A INPUT -s 188.241.114.22 -j DROP
mas apesar disso, continuo vendo conexões desse IP. Estou usando o centOS e estou adicionando a regra como thie:
iptables -A INPUT -s 188.241.114.22 -j DROP
Logo depois que eu salvá-lo usando: service iptables save
Aqui está a saída do iptables -L -v
Chain INPUT (policy ACCEPT 120K packets, 16M bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any lg01.mia02.pccwbtn.net anywhere
0 0 DROP all -- any any c-98-210-5-174.hsd1.ca.comcast.net anywhere
0 0 DROP all -- any any c-98-201-5-174.hsd1.tx.comcast.net anywhere
0 0 DROP all -- any any lg01.mia02.pccwbtn.net anywhere
0 0 DROP all -- any any www.dabacus2.com anywhere
0 0 DROP all -- any any 116.255.163.100 anywhere
0 0 DROP all -- any any 94.23.119.11 anywhere
0 0 DROP all -- any any 164.bajanet.mx anywhere
0 0 DROP all -- any any 173-203-71-136.static.cloud-ips.com anywhere
0 0 DROP all -- any any v1.oxygen.ro anywhere
0 0 DROP all -- any any 74.122.177.12 anywhere
0 0 DROP all -- any any 58.83.227.150 anywhere
0 0 DROP all -- any any v1.oxygen.ro anywhere
0 0 DROP all -- any any v1.oxygen.ro anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 186K packets, 224M bytes)
pkts bytes target prot opt in out source destination
O comando iptables -A INPUT adiciona uma nova regra no final da cadeia INPUT. O Iptables trabalha no princípio do primeiro jogo, então é provável que você tenha uma regra que permita acesso à porta 80 anteriormente na cadeia.
Salve o estado dos seus iptables com um
service iptables save
em seguida, edite o arquivo /etc/sysconfig/iptables e mova o -A INPUT -s 188.241.114.22 -j DROP acima da linha que permite a porta 80. Salve o arquivo e execute
service iptables restart
Como a maioria das entradas de listas de acesso do firewall (ACLs), elas são lidas de cima para baixo. As pessoas que são novas em firewalls com informações de estado (baseadas em host e em rede) geralmente fazem uma entrada verificando a lista de acesso que é aplicada a regras semelhantes que correspondam aos mesmos critérios ANTES da regra inserida. Isso geralmente é feito quando um administrador de firewall coloca uma regra de permissão após uma regra de negação e fica curioso para saber por que ainda não consegue obter uma conexão de um host.
Meu conselho é verificar sua lista de acesso e ver se alguma coisa corresponde à sua declaração antes da declaração que você está tentando. Sua regra de negação provavelmente deve estar no topo da lista, já que é uma alta prioridade bloquear esse tráfego. Apenas seja específico quanto ao host que você deseja bloquear.
De acordo com as informações que você forneceu, a regra que bloqueia esse IP parece estar lá, e nada parece estar aceitando o tráfego em um sentido mais geral antes disso (a menos que você tenha copiado apenas uma parte dele).
Tente também bloquear o OUTPUT para este IP:
iptables -I OUTPUT -d <dst-ip> -j DROP
Dê-nos o seu iptables -L -v . Aposto que você tem uma regra que está aceitando com um curinga antes da nova regra.
EDIT: Possíveis pensamentos incluem que essas conexões estão gerando um comprometimento em sua máquina ou que vários hosts fazem o mapeamento reverso para o mesmo nome de domínio e você não está percebendo porque (apenas verifique novamente).
Bem, já que é um assunto obscuro com o seu netfilter (pelo menos na sua explicação), você pode usar o ip route para eliminar esse host: sudo ip route add unreachable 188.241.114.22 . Isso também será mais compatível com CPU, já que a tabela de roteamento usa Hash ou Tree para armazenar várias rotas (não uma lista de quando o pacote chega).