最贵的往往是那些免费带入坑,不能自拔~

2023-09-21 09:32:47 +08:00
 weip
有公网 ip 的家宽需注意,尽量不开放端口。
之前用的是路由系统 ikuai ,tmd 有 bug ,无理由开放端口,还发现个问题,免费版简直是耍流氓,nat 还限速了,ip 地址分组每次只能添加 1000 个,对 CIDR 格式的 ip 解析上 [例如添加 5 个 IP 分组就不行了感觉] ,感觉有限制,企业版不清楚。

昨晚开始慢慢迁移到 opnsense 防火墙系统,配合 ip 段开源库,逐步仅对国内 ip 开放相应端口。
最贵的往往是那些免费带入坑,不能自拔~
3343 次点击
所在节点    信息安全
10 条回复
Enzoliu
2023-09-21 10:57:25 +08:00
目前用的 nas 半年前就被我映射到公网上面了...
但愿平安...
leefor2020
2023-09-21 10:59:27 +08:00
我对外只有一个 IPSec 的服务,其他端口一个都没开
happyxhw101
2023-09-21 11:02:03 +08:00
我用的 openwrt ,日志上天天有国外 ip ,我现在对外端口全部通过 nginx 代理,包括 http ,ssh 等, 只要是国外 ip 就返回 404, 同时监视日志只要是国外 ip 就丢到 ipset 里面永久封禁:

```
{"msec": "1695250093.634", "connection": "11974", "connection_requests": "1", "pid": "28", "request_id": "04618a16e27a69de2c2dd35d3be619e2", "request_length": "118", "remote_addr": "165.227.180.202", "remote_user": "", "remote_port": "45458", "time_local": "21/Sep/2023:06:48:13 +0800", "time_iso8601": "2023-09-21T06:48:13+ 08:00", "request": "GET /ab2g HTTP/1.1", "request_uri": "/ab2g", "args": "", "code": "404", "body_bytes_sent": "118", "bytes_sent": "297", "http_referer": "", "http_user_agent": "Mozilla/5.0 zgrab/0.x", "http_x_forwarded_for": "", "http_host": "218.74.49.39:8443", "server_name": "book.happyxhw.cn", "request_time": "0.000", "upstream": "", "upstream_connect_time": "", "upstream_header_time": "", "upstream_response_time": "", "upstream_response_length": "", "upstream_cache_status": "", "ssl_protocol": "TLSv1.2", "ssl_cipher": "ECDHE-RSA-AES128-GCM-SHA256", "scheme": "https", "request_method": "GET", "server_protocol": "HTTP/1.1", "pipe": ".", "gzip_ratio": "1.36", "http_cf_ray": "", "allowed": "no", "geoip_country_code": "US", "geoip_city": "Clifton"}

```
CEBBCAT
2023-09-21 11:09:21 +08:00
建议发帖前深呼吸组织一下语言,我最近去图书馆,发现传统一些的纸本杂志的文字组织也都还不错,楼主可以找来看看借鉴学习
zuijiapangzi
2023-09-21 11:13:10 +08:00
@happyxhw101 能细讲下你的 nginx 和 ipset 操作吗?想学习学习。

目前我也是 ikuai 。主要用 ddns ,映射 nas 上面的服务到公网,但是非常蛋疼的是我网线如果掉了再接过去,需要重启 ikuai 。不知道什么傻逼机制。
现在主要设备是一台 pve 虚拟机上面虚拟群辉,还有一台小型机器,在跑部分 docker 。
testver
2023-09-21 11:21:47 +08:00
一定要主路由+旁路由的方式,主路由尽量采用传统路由,稳定是第一位的。
happyxhw101
2023-09-21 11:25:33 +08:00
@zuijiapangzi 你爱快的端口会不会是 docker 的,docker 会绕过 iptables
happyxhw101
2023-09-21 11:30:52 +08:00
@zuijiapangzi 就是 niginx 里面配上 geoip 模块,然后记到日志里面去,和你在 opensuse 里面类似,然后
用 ipset

ipset create blocknet hash:net
iptables -I INPUT -m set --match-set blocknet src -j DROP
ipset add blocknet 43.135.25.0/24
tinola
2023-09-21 12:15:21 +08:00
没有公网 IP ,用的 ipv6,貌似还算清静。
zuijiapangzi
2023-09-22 09:33:14 +08:00
@happyxhw101 我 ikuai 是在 pve 上的,把光猫的端口单独接入 ikuai 当 wan 口。然后虚拟其他端口为 lan 口。
关于 ipset 主要是想知道,这一步是不是得手动?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/975749

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX