为了防止家里公网 IP 被乱扫，我做了个黑名单 IP 表

@killva4624 fail2b 有点局限，比如在野 1day 攻击的流量就没法防，要加个 IPS 才可以。所以我没再用 fail2ban 了，用了更轻量的方式防护这种攻击。CPU 和内存占用几乎 0

我手机 24 小时开着 VPN ，也没见耗电有什么异常

@Goooooos 我用的辣鸡苹果手机，开 L2TP 会很热，耗电快。

请问我家是光猫桥接+openwrt 旁路由，我在 openwrt 上跑了 DDNS 服务可以外网访问 openwrt 。请问我这能监控到这些异常登录吗？
还有就是摄像头连的主路由，我知道最好对他单独做个子网禁止它扫别的机器，但是，我不会😭

@old9 感谢，这个好，我收藏一下

换其他协议，ss ，vmess ，wireguard

v4 天天有脚本来爆破 ssh 密码，都封了 3819 个 ip 了，服务器才工作 1 个月。

@Goooooos 这几个都需要安装第三方 App ，并且流量可被全流量设备识别特征。。。

@wuyadaxian 是有啥特殊需要必须把 ssh 端口开房出去吗。。。。

@pplive 为了远程管理。反正上了密钥，来爆破的都是脚本而已。

@pplive 一般的翻墙软件都支持这几个协议，然后配置下路由，那就回家和翻墙两不误

看了半天没搞明白，没开放的端口你怎么知道被尝试连接了？你从上层网络设备做的日志？

@magic3584 Openwrt 本身没有异常登录日志的提醒，但是 Openwrt 如果你用的是 x86 带容器版本，那么可以装一个长亭 WAF ，对互联网仅开放 WAF 的端口，来防止爆破攻击 Web 管理界面： https://waf-ce.chaitin.cn/docs/guide/install

@pplive 我用的是 flippy 大佬编译的 n1 固件，不知道啥版本。。。
还有就是我这 n1 只是旁路由，如果主路由被异常登录也能监测到吗？目前用的是小米的没法去自己刷

@opengps 简单啊，写个 iptables 脚本，给非白名单端口发 syn 包的 IP 加到 ipset 里面 DROP 掉，然后把 ipsetlist 记录到文本上就 OK 了，我不懂代码，用 GPT 写的。

搜索一下 iptables recent hacker 吧

根据它用 ipset 的实现，预先让扫描端口的 IP 自动 ban

ipset destroy banned_hosts
ipset -N banned_hosts hash:net timeout 180

-A INPUT -i eth1 -m set --match-set banned_hosts src -j DROP
-A INPUT -i eth1 -p udp -m multiport --dports 80,5060 -j SET --add-set banned_hosts src
-A INPUT -i eth1 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts src

@datocp 这也太粗暴了…………不过倒也合理

这为了抓肉鸡的吧。

@magic3584 这个回答不了。。。。只能你自己爬帖研究下了

IP 黑名单 --> 肉鸡 IP 名单🧟