Когда я впервые инициализировал свой ufw, я сделал
ufw default allow outgoing
ufw default deny incoming
ufw allow 80/tcp
ufw allow 22/tcp
За последнюю неделю я просматривал свои журналы доступа и запрещал IP-адреса, которые делают злонамеренные запросы на моем сервере.
Я бы сделал это, используя
ufw deny from <ip>
Вот мой ufw status verbose
Все вставленные здесь IP-адреса от больных спамеров; не жалей их
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80/tcp ALLOW IN Anywhere
22/tcp ALLOW IN Anywhere
Anywhere DENY IN 125.39.22.154
Anywhere DENY IN 222.124.200.250
Anywhere DENY IN 101.60.178.197
Anywhere DENY IN 115.184.115.200
Anywhere DENY IN 93.174.93.129
... more ips ...
80/tcp (v6) ALLOW IN Anywhere (v6)
22/tcp (v6) ALLOW IN Anywhere (v6)
Вопрос
Я замечаю, что ALLOW действия до DENY действия.
Имеет ли значение порядок правил? Или я могу спокойно отдыхать, зная, что мой IP-блок сработал?
Дополнительный вопрос: есть ли более эффективный способ обработки спам-запросов, чем вручную grepжурналы доступа / ошибок для злонамеренных запросов и блокирование этих IP-адресов от последующих запросов?
Имеет ли значение порядок правил?
Да, это так. Отказ должен быть первым в таком случае поскольку они более конкретны (сначала должны идти более конкретные правила). пример
Есть ли более эффективный способ обработки спам-запросов, чем вручную
fail2ban может сканировать журналы и добавлять IP-адреса ко многим типам систем фильтрации, которые соответствуют определенным шаблонам.
Вы можете указать ufw вставить правила в заданную позицию:
ufw insert 1 deny from <ip> to any
Это вставляет правило запрета в первую позицию вместо последней.