家宽成功开通 80， 443，建站阻断问题

rt，联通家宽 80，443 固定 ip 开通，建立了个人博客，但是老是有人把没有备案的域名解析过来，就很烦，能不能像机房一样，建立域名白名单，不是在白名单里的跳到阻断页面？现在有爱快和 ros 以及 lede.
请问有没有办法实现？

zhengrt

2020-06-19 12:14:46 +08:00

成功帮助我解决这个问题的，教你如何获取公网 IP 和 80，443

vbcity

2020-06-19 12:36:18 +08:00

要阻断，基本要用 L7 Filter，分析 HTTP 请求包的 Host 字段，只允许包含你主机域名的数据包通过，其他的直接跳转到另一个端口

jy02201949

2020-06-19 12:39:10 +08:00

开 80 不怕被发通知么

cxh116

2020-06-19 12:41:11 +08:00

默认站点，nginx return 444 。你搜

2020-06-19 12:41:26 +08:00

你用啥搭的 web ？你搜下 virtualhost 支持，你把不是你域名的都返回 403 就好了

qanniu

2020-06-19 12:41:44 +08:00

@zhengrt 谁能看懂#1 的汉字是什么意思？

zhengrt

2020-06-19 13:04:26 +08:00

@vbcity 是自动的吗？

zhengrt

2020-06-19 13:04:36 +08:00

@jy02201949 许可的

zhengrt

2020-06-19 13:04:44 +08:00

@wd 好的谢谢

zhengrt

2020-06-19 13:05:06 +08:00

我的意思是基于网络设备阻断，不是 web 系统里阻断

zhengrt

2020-06-19 13:05:27 +08:00

比如在主路由就阻断了

Meano

2020-06-19 13:41:55 +08:00

TCP 的握手总得过吧，sni 识别也在握手之后，一般 iptables 规则是不行的，得有 sni match ( https)或 string match( http)标记链接，有功夫折腾这个还不如回个 444，match 总会造成性能上的损耗，在应用层 down 掉不影响正常链接，链路上的处理如果路由性能不好就会变慢点

kennylam777

2020-06-19 13:44:36 +08:00

以你的設備，80 不可能了，443 的 SNI 可以用 RouterOS 解決，tls-host
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

934831065ldc

2020-06-19 13:56:39 +08:00

正常情况下使用 nginx 就行了，将不是自己的域名，返回 404 就可以了。能提供如何获取的家宽 80 、443 端口么

a3587556

2020-06-19 14:17:01 +08:00

如果你的路由器支持 iptables 的话就能在 4 层把不符合条件的 drop
https://github.com/fifilyu/module-http-whitelist

samondlee

2020-06-19 15:38:09 +08:00

大佬可否公开呀

zhengrt

2020-06-19 16:33:54 +08:00

@kennylam777 谢谢，
有没有什么软路由软件可以实现呢？

zhengrt

2020-06-19 16:34:37 +08:00

@a3587556 可以考虑加一个 linux 中转

zhengrt

2020-06-19 16:35:39 +08:00

就是有没有什么软件，可以实现像机房那样的白名单系统呢

a3587556

2020-06-19 16:42:03 +08:00

@zhengrt openWrt 好像支持 iptables 可以刷个来试试

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/682988

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.