我有一个服务器,它不允许从外部源连接到 mysql - 我所有的数据库和连接都发生在本地主机上。iptables 的默认策略是删除我未指定的任何端口的连接(目前我的 iptable 规则中没有指定端口 3306,因此所有与该端口的连接都将被删除)。
很好,但现在我想连接到位于 Amazon RDS 外部的 mysql 数据库。
3306端口可以对外开放如下:
iptables -t filter -A INPUT -p tcp --sport 3306 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT
这允许我连接到 Amazon RDS 上的数据库,但它也允许远程连接到我服务器上的数据库。
我需要做什么才能让我的服务器连接到 Amazon 上的数据库,但限制到我服务器上的数据库的外部连接?
另请记住,我相信我的 Amazon RDS 实例的 IP 地址可能会定期更改。
我们有一个网站似乎遭受了拒绝服务攻击。涉及多个 IP 地址,这些地址都已注册到 Facebook。
以下是 Apache 日志文件的摘录:
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
正如您所看到的,请求的 URL 是有效的,但包含一个乱码查询字符串。每秒有数百个这样的请求。
我认为 IP 地址和引荐来源网址都是伪造的。即使上述 URL 已在 Facebook 上发布/共享,它也无法解释来自同一 IP 地址和引用者的所有其他数千个随机请求。
虽然我们可以通过我们的防火墙阻止 IP 地址,但还有其他 IP 地址正在使用(全部注册到 Facebook),如果他们实际上没有责任,我们不想阻止 Facebook。
这些攻击的来源是否可能来自其他地方,我们如何减轻它们的影响?