【已解答】nginx防火墙8.7.3误封ip问题

先描述一下我的设置
[cc防御]设置是小白模式 周期1秒,频率60000,封锁时间1秒,
[恶意容忍度]设置 周期1秒,频率60000,封锁时间10秒,

在防火墙中我关闭了[cc防御],在[User-Agent过滤]中增加了我想屏蔽的恶意协议头



问题描述:
首先我的防火墙是之前一直使用的,有拦截历史.现在的问题是我发现防火墙站点里的日志中有拦截记录 过滤器显示user_agent,时间间隔都是在2-3秒的间隔,没有出现同一秒有多条封锁同一ip的现象,可以见下图一.
在防火墙的封锁历史中出现了封锁ip的现象,每次增加时长是1s(我猜猜是触发了cc规则封锁),这个ip我是不想屏蔽的,我只想屏蔽我设置的恶意协议头,但是每次出现user_agent的屏蔽都会有ip被封锁,时长每次增加1秒.我的cc已经关闭了还触发对应的规则.其中有防火墙版本是7.0.3的没有出现上述问题.希望尽快修复此问题,联系运维远程过半个多月了,我的多台服务器已有恶意useragent访问就会出现拦截.

没人处理吗?

UA 是直接拉黑IP的。然后拉黑IP的时间是从CC的那个封锁IP的一个具体封锁时间的一个数据

UA。和CC是没啥关系的。都是取的一个封锁时间点

宝塔技术-小强 发表于 2020-12-9 14:43
UA 是直接拉黑IP的。然后拉黑IP的时间是从CC的那个封锁IP的一个具体封锁时间的一个数据 ...

拦截UA干嘛要拉黑ip?拉黑IP,攻击机一换ip,别人用了这个ip就不能访问了.还有做反代的站点,那个IP不是用户的是站点的,一拉黑整个站就不能访问了!能调整一下这个规则吗?

ziliuxing 发表于 2020-12-10 11:00
拦截UA干嘛要拉黑ip?拉黑IP,攻击机一换ip,别人用了这个ip就不能访问了.还有做反代的站点,那个IP不是用户 ...

UA 为什么不拉黑IP呢。
真实的浏览怎么可能是那些攻击的UA 。所以UA 就直接拉黑IP了。不需要再花性能去弄这个啦

宝塔技术-小强 发表于 2020-12-10 16:16
UA 为什么不拉黑IP呢。
真实的浏览怎么可能是那些攻击的UA 。所以UA 就直接拉黑IP了。不需要再花性能去弄 ...

经过反向代理的站点,恶意UA访问,防火墙拦截的ip不是真正发起请求的ip而是做反代机子的ip,这样一拉黑,整个都没法访问了.最好加一个选项项是否拉黑ip,像我们这样的需求就可以解决了,要不然已设置ua拦截就封服务器ip,别人都没法访问

ziliuxing 发表于 2020-12-21 17:08
经过反向代理的站点,恶意UA访问,防火墙拦截的ip不是真正发起请求的ip而是做反代机子的ip,这样一拉黑,整个 ...

反向代理要开启CDN选项啊