用于 ssh 的子域名会泄露公网 ip 这个问题怎么解决

5 天前
 SeleiXi

ISP 动态分配公网 ip ,所以干脆把 ip ddns 到一个子域名直接用这个子域名来 ssh ,但如果经 CloudFlare 代理一层就没办法 ssh 上去了,不经代理的话这个子域名就会暴露公网 ip 而被攻击(目前打算就挂在 CF 后面防 ddos ,因为上不起高防服务器 TAT )。

还是说这个子域名也不提供 web 服务,所以只要起个名字组合比较复杂的子域名然后不泄露这个子域名出去就好了?

1837 次点击
所在节点    程序员
16 条回复
whusnoopy
5 天前
把 ssh 用另一个子域名绑定 ddns ,并且换个端口?
常规端口应该都被运营商给拦掉了吧,想对外提供 web 服务就把不是用于 ssh 的这个子域名用 CloudFlare 套一层
lambdaq
5 天前
cf warp 就行。zero trust 那个,任意 tcp 端口都能套一层

代价是你得走一个 cf 客户端。
SeleiXi
5 天前
@whusnoopy 人在香港,免费送公网 ip ,所有端口都健在()服务器是自己 10 年前的 win7 改成 linux 来的
SeleiXi
5 天前
@whusnoopy 嗷不过现在确实是这么做的,提供 web 服务的都套了 CF ,只有这个没套,但是这个子域名也有可能被遍历出来
xiaket
5 天前
我反正是公私钥加上 fail2ban. 个人觉得被攻击是系统层面该解决的问题, 不应该是架构层面解决
amlee
5 天前
公私钥加 fail2ban ,ssh 端口不用 22 ,所有连接 22 的全 ban 掉

专门用来 ssh 的子域名不开 cf 小黄云也没事吧,不是没挂 web 服务么?

我自己的服务器只开 443 和用来 ssh 的端口,443 开白名单只允许 cf 的 ip 段,cf 回源开完全严格。出站用 traefik 代理分流到不同的服务。

我感觉这样要是还出问题我就认了
joeycheek
5 天前
用 CF 的 tunnel
LGA1150
5 天前
zerotrust 可以用 webssh
yc8332
5 天前
公网 ip 本来就是开放的,有啥泄不泄露的。。。人家要扫一个工具就行了
Ipsum
5 天前
tailscale 组网,你还管他泄不泄露的?
hackroad
5 天前
内网穿透回去,你想干什么都行。
wu67
5 天前
@yc8332 大概是部分地区 ssh 机器 ip 会比较容易被封
lcy630409
5 天前
“不经代理的话这个子域名就会暴露公网 ip 而被攻击”

NO
只要是公网 ip 就会攻击
别人是广撒网 做嗅探
不是你不暴不暴露出去的问题
SeleiXi
5 天前
@xiaket 其实 ssh 这个操作本身对服务器带来的负担如何呢,感觉应该很小?
guanzhangzhang
4 天前
headscale 组网,你还管他泄不泄露的?
xiaket
4 天前
@SeleiXi 微不足道, ssh 本身服务的负荷就很小, fail2ban 以后更是如此.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1101238

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX