datocp
2023-08-10 06:03:07 +08:00
还有这种事情,闻所未闻。。。真的,工具有问题就赶紧换工具。比如 2015 年 1 月 1 日,ss 出现 dns 解析故障,一天翻不了。咦按照描述 socks5 具备远程 dns 解析功能,怎么会发生这种事情。联想到以前 qq 浏览器内置 dns 解析,马上弃用 ss 。
之后被网友反应 ss 被不明所以的用来发垃圾邮件,那就在防火墙上禁止访问常见邮箱接口。
基本从 2015 年开始至今,一直使用 stunnel 。我也不知道 stunnel 为什么好,也许崇洋媚外。。。人家被各种文档描述为专业的加密链路工具。
vps 的其它加强措施
1.布署 iptables 防火墙,确认 input 的默认规则为 drop 。
2.丢弃 tcp-reset 包,电信恶心最夸张的时候 1 秒丢来 6 个。
3.设置 iptables recent hacker ,设定蜜罐让扫描者自动踩陷阱 drop 。
4.在 out 方向 drop 邮件访问端口。
5.使用 haproxy 对 tcp80 进行端口复用
6.伪造 symantec/microsoft/apple 证书
7.Stunnel 使用 pki 对客户端合法性进行认证,防止中间人。没错,连接过程会被插入错误包。
8.服务器端,每 30 分钟 cron 重新变换证书,有效。看起来墙也挺恶心的。就差什么时候伪造个 z 府网站证书。
9.家里网络有公网 ip ,设定脚本每天定时获得不同 ip 。一天重拔 5 次总可以获得不被墙的 ip 吧。。。本地 ip 就自带墙了。。。
10.有条件条条大路通罗马,东边不亮西边亮。
11.不要好心在 V2EX 分享,会被坏人 ddos 的。。。
基本上这就是这么多年讨论下来的防护,也不知道哪些才算有效。7x24 稳定在线。正统的 tls 加密工具,不具备 pki 证书根本连不上。普通人中的最普普通通的特症还需要各种阿猫阿狗自创的啥啥啥协议。。。