nginx – 我如何拒绝所有不是来自cloudflare的请求？

发布时间：2020-12-13 21:08:18 所属栏目：Nginx 来源：网络整理

导读：我最近得到了来自多个代理服务器的拒绝服务攻击,所以我安装了cloudflare来防止这种情况.然后我开始注意到他们通过直接连接到服务器的ip地址并伪造主机头来绕过cloudflare. 在不同于cloudflare使用的18个ip地址的连接上返回403的最佳性能是什么？我试图拒绝

我最近得到了来自多个代理服务器的拒绝服务攻击,所以我安装了cloudflare来防止这种情况.然后我开始注意到他们通过直接连接到服务器的ip地址并伪造主机头来绕过cloudflare.

在不同于cloudflare使用的18个ip地址的连接上返回403的最佳性能是什么？
我试图拒绝所有然后明确允许cloudflare ips,但这不起作用,因为我已经设置它,以便CF-Connecting-IP设置ip允许测试.

我正在使用nginx 1.6.0.

最佳答案

最高效的方式是服务器前面的硬件防火墙.或者向您的数据中心/上游提供商寻求帮助以减轻攻击.

在Web服务器或iptables中阻止它可能会有所帮助,但仍然使用带宽和系统资源,因此仍然可以进行DoS攻击.您想要的是尽可能阻止上游的流量 – 因此流量永远不会到达您的服务器,并且不会将您的链接充斥到世界其他地方.硬件防火墙可以比网络服务器更快,更快地过滤流量,并且不使用任何服务器资源.当您需要直接连接时,您将希望它们允许来自cloudflare以及您的办公室或其他服务器的流量.

更改服务器的IP也可能有所帮助 – 只有cloudflare需要知道新IP,不要将其发布在公共DNS记录中.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!