iptables - elimine todo o tráfego HTTP (S), mas da CloudFlare

3

Gostaria de permitir apenas o tráfego HTTP (S) proveniente do CloudFlare. Dessa forma, os invasores não podem atacar o servidor diretamente. Eu sei que o CloudFlare não é principalmente um mitigator DDoS, mas eu gostaria de tentar de qualquer forma.

Atualmente, estou tendo apenas acesso ao iptables (apenas para o ipv4), mas tentarei instalar o ip6tables em breve. Eu só preciso corrigir isso em breve. (estamos recebendo (D) DoSed atm.)

Eu estava pensando em algo assim:

iptables -I INPUT -s <CloudFlare IP> --dport 80 -j ACCEPT
iptables -I INPUT -s <CloudFlare IP> --dport 443 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP

Eu sei que CloudFlare tem vários IPs, mas apenas para um exemplo.

Este seria o caminho certo?

    
por Martin 07.11.2012 / 11:15

1 resposta

5

Sim, isso funcionaria. Você também pode usar ! negar assim:

iptables -I INPUT ! -s <cloud_flare ip> -p tcp --dport 80 -j DROP
iptables -I INPUT ! -s <cloud_flare ip> -p tcp --dport 443 -j DROP
    
por 07.11.2012 / 11:21