问题标签 [ip-blocking]

免责声明：

本主题适用于 HTTP 流量（在 Linux 平台上）。对于以下问题，ELB 可能有一个很好的解决方案（每个人都价格合理）。但到目前为止我找不到任何东西。这就是为什么我需要专家的建议。

问题：

多年来，我一直在使用AWS Elastic Load Balancing (ELB)。突然意识到 ELB 有一个巨大的（对我来说至关重要的）缺点 .. 就是阻止 IP 的入站连接。

因为一旦您落后于 ELB，您的服务器内部防火墙（例如iptables：）就已经无用了，因为来自 ELB 的所有转发流量都被标记为 ELB IP（而不是真正的客户端 IP）。ELB 只转发X-Forwarded-Forhttp 头中的 Real Client IP，这对于iptables. （除非您可以建议有一个类似的 Linux 防火墙iptables，它也可以处理内部带有 XFF（X-Forwarded-For）标头的 HTTP 流量。）

我知道这是此类反向代理的正常行为，但我需要设置防火墙！我知道在 AWS 上，建议使用VPC 和网络 ACL规则来阻止通过 IP 的入站连接。但是 NACL 有规则限制！（AWS 仅允许在 NACL 中最多使用 40 条规则）

想象一下，您正在运行一个高流量的公共网站，然后需要阻止每天检测到的大量不良 IP。这 40 条规则有什么帮助？

需要建议：

我开始考虑Nginx用作负载均衡器（在单独的实例上）。我以前用过Nginx，它是一个有前途的。当然，可以替代ELB。接着：

• iptables在那个Nginx实例上使用！（因此，该 VM 将成为 LB+Firewall）

但在我采取行动之前，

• 有没有更好的专家建议？
• 在这里不使用 ELB 的最大区别（影响）是什么？

谢谢大家的建议。

有时，Web 开发人员使用 IP 地址块或范围来处理来自该 IP 范围（IP 块）的流量，当我们想要阻止机器人访问网站和更多用途时，也会使用 ip 范围。

我无法理解一件事，我在这里看到了有关 IP 的信息http://ipinfo.io/AS16509，我读到了类似“103.246.150.0/23 有 512 个 IP 地址”的内容，

好的，但是“103.246.150.0/23”中的“/23”是什么意思？过去，每当我读到“103.246.150.0/23”之类的内容时，我只是认为这意味着 23 个 IP 地址，例如 103.246.150.0、103.246.150.1、103.246.150.2....... 103.246.150.23。但事实并非如此，它包含 512 个 IP，请在此处阅读http://ipinfo.io/AS16509，

那么“/23”是什么意思呢？

例如，Facebook 提供了一系列 IP 来处理他们的机器人

31.13.24.0/21

66.220.144.0/20

那么上面的IP是什么，有多少IP？谢谢

我正在使用 Apache 并.htaccess阻止IP地址，例如：

实际上，在真实文件中，这些数量很多。

（请不要讨论为什么我使用这种方法通过 Apache 阻止 IP。背后有很多原因。）

有没有办法我可以在文件中列出 IP .txt，然后指向该文件.htaccess？

像这样的东西：

然后，我可以将 IP 简单地逐行放入ips.txt文件中，如下所示：

因为，像这样更容易（并且可能）将 IP 条目自动化到.txt文件中。

这甚至可能吗？或者请问这个的正确方法是什么？

谢谢大家:)

尝试阻止 IP 时，我有一个包含以下代码的 htaccess 文件：

浏览 www.example.com 时阻止我自己的 IP 有效，但不会阻止其他任何内容（如 www.example.com/index.php 或 www.example.com/home，...）。htaccess 与 index.php（httpdocs 文件夹）位于同一目录中。

我怎样才能让它工作？

我有一个大问题，我无计可施。首先，我添加了我的 IP（如 172.32.1.0/255.255.255.0）以允许在 WHM -> 主机访问控制中访问 ssh、whm 和 cpanel。然后，我添加了所有 IP 以拒绝他们的访问。但是，在保存更改后，我无法访问所有这些更改。现在，如果我尝试登录 WHM，我会看到：

HTTP 错误 401

您没有权限访问此页面。

另外，我无法访问 SSH。我不知道该怎么办。也许如果我重新启动服务器，问题就会解决？请帮我。谢谢你。

我必须限制登录，如果出现大规模失败尝试，我想阻止所有 IP。如何使用下面的代码实现这一点？如果以下代码不够好，请告知有关此问题的良好教程。

为了加强安全性，是否有更简单的方法可以自动执行以下操作：

例如，我想在午夜 23:00 之后限制黑客活跃的那些时间段之后的任何 POST 操作。因此，如果我在 public_html 的根目录下放置 .htaccess 规则，可以阻止黑客在我睡觉时在午夜将大量恶意文件上传到一些不安全的站点。

在白天的工作时间内自动注释掉（不应用特定的 .htaccess 规则），此时大多数具有差异 IP 的有效用户能够正常访问、登录和上传内容。

在 StackOverflow 上还没有找到任何答案，所以这里是：

我有一长串被禁止的 IP，我想从我的网站完全阻止这些 IP，但我想将它们全部重定向到网站上的特殊定制（非通用）403 禁止消息。有没有办法通过 htaccess 来完成这个？

谢谢！

PS：对不起，请原谅我的英语。

我有一些IP必须阻止的情况，我想到了更好的方法-htaccess。这导致我有很多切入点。它很容易并且工作正常......

我愿意：

但！还有一件事。我有一些设备应该被允许访问，即使它们通过被拒绝的 IP。

我无法为 Apache 安装某些模块。所以我需要一些简单的方法来决定它。

有人可以给我一些方法或技巧吗？

互联网提供商是否为多个客户提供相同的 IP？

我想知道 ISP 是否可以将相同的公共 IP 地址提供给多个客户。理论上是可能的吧？

如果可以的话，这是他们经常做的事情吗？我的意思是，不一定总是，但我想知道这是否最终会发生

我和我的邻居可以共享同一个 IP 到互联网吗？

我的问题实际上来自安全原因。为了防御 DOS 攻击者，我会禁止他们的 IP 一段时间。其他人会因此受到影响吗？

在实际的生产场景中，你会通过在应用层阻塞IP来解决DOS吗？