iT邦幫忙

0

iptables 擋不了虛擬網卡?

afgn 2012-03-30 14:39:525283 瀏覽

如題, 我的網站有兩台電腦, 一台active, 一台standby, 各用Heartbeat服務監控對方, 並提供虛擬ip來當做對外網站網頁伺服器ip。

例如: A電腦 (100.0.0.1), B電腦 (100.0.0.2) 共同建立一個 100.0.0.3 虛擬ip。

eth0 Link encap:Ethernet HWaddr 00:00:11:B8:86:24
inet addr:100.0.0.1 Bcast:100.0.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:859155875 errors:0 dropped:0 overruns:0 frame:0
TX packets:1020633097 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:113013712645 (105.2 GiB) TX bytes:1120596478819 (1.0 TiB)
Interrupt:16 Memory:fbee0000-fbf00000

eth0:0 Link encap:Ethernet HWaddr 00:00:11:B8:86:24
inet addr:100.0.0.3 Bcast:100.0.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:16 Memory:fbee0000-fbf00000

問題是: 我發現網站被駭客攻擊, 但是我用 iptables 居然擋不掉.... 檢查 error log
還是會出現被攻擊的痕跡。

我在 /etc/rc.local 的設定如下 :

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 38.111.147.0/24 -j DROP
iptables -A INPUT -s 38.111.147.0/24 -d 100.0.0.3 -j DROP

兩個都設了還是擋不掉, 請高手指點, 謝謝!!

2 個回答

8
mikeko
iT邦新手 1 級 ‧ 2012-03-30 15:17:33
最佳解答

請把 iptables -A INPUT -p tcp --dport 80 -j ACCEPT 移到最下面

afgn iT邦新手 5 級 ‧ 2012-03-30 17:33:37 檢舉

COOL.... 太久沒研究 iptable 已經忘記了 ^_^||| 我會選為最佳答案的 (搶頭香)

2
bzbz
iT邦新手 2 級 ‧ 2012-03-30 17:20:19

因為你這一條 iptables -A INPUT -p tcp --dport 80 -j ACCEPT

讓hacker過了.....

loke0204 iT邦新手 3 級 ‧ 2012-04-02 09:44:51 檢舉

補充一下
假設 iptables 有以下rule
rule 1
rule 2
rule 3
今天假設有封包會先經過 netfilter 就會開始檢查iptables 的規則
也就是 rule1 rule2...那麼 假如今天封包符合rule 1的時候 那麼就會直接進入hosts
那麼假如 封包在跟rule1比對不符合時 就會跳到rule2去做比對動作 如果rule2 有符合就會進去............以此類推

現學現賣XDDDD 如果有說錯 希望各位大大鞭小力點@_@

我要發表回答

立即登入回答