У меня есть сервер эластичного поиска, который, похоже, был использован (он используется для DDoS-атаки, у которой Брандмауэр БЕЗ БЕЗОПАСНОСТИ около месяца).
В качестве временной меры, пока я создаю новый, я надеялся заблокировать весь трафик к серверу и от него, который не шел и не шел на наш веб-сервер. Достигнут ли этого эти правила iptables:
iptables -I INPUT \! --src 1.2.3.4 -m tcp -p tcp --dport 9200 -j DROP
iptables -P FORWARD \! --src 1.2.3.4 DROP
iptables -P OUTPUT \! --src 1.2.3.4 DROP
Первое правило проверено и протестировано, но, очевидно, не препятствует трафику, поступающему с моего сервера на другие IP-адреса, поэтому я надеялся добавить вторые два правила, чтобы полностью защитить его.
Для этого я бы реализовал отбрасывание по умолчанию ПОСЛЕ определения разрешенных IP-адресов. Так это выглядело бы
iptables -I INPUT --src 1.2.3.4 -p tcp --dport 9200 -j ACCEPT
iptables -P INPUT DROP
iptables -I FORWARD --src 1.2.3.4 ACCEPT
iptables -P FORWARD DROP
iptables -I OUTPUT --src 1.2.3.4 ACCEPT
iptables -P OUTPUT DROP
Также имейте в виду, что цепочка FORWARD, скорее всего, ничего не делает, если у вас нет нескольких сетевых адаптеров, тегов vlan и т. Д. И "1" в /proc/sys/net/ipv4/ip_forward.
Кроме того, сначала проверьте свои правила и, возможно, добавьте 10-минутный cron для сброса правил, или вы может заблокируйте себя, если это удаленная машина, без внеполосного доступа к консоли :)