最贵的往往是那些免费带入坑，不能自拔～

有公网 ip 的家宽需注意，尽量不开放端口。
之前用的是路由系统 ikuai ，tmd 有 bug ，无理由开放端口，还发现个问题，免费版简直是耍流氓，nat 还限速了，ip 地址分组每次只能添加 1000 个，对 CIDR 格式的 ip 解析上 [例如添加 5 个 IP 分组就不行了感觉] ，感觉有限制，企业版不清楚。

昨晚开始慢慢迁移到 opnsense 防火墙系统，配合 ip 段开源库，逐步仅对国内 ip 开放相应端口。
最贵的往往是那些免费带入坑，不能自拔～

Enzoliu

2023-09-21 10:57:25 +08:00

目前用的 nas 半年前就被我映射到公网上面了...
但愿平安...

leefor2020

2023-09-21 10:59:27 +08:00

我对外只有一个 IPSec 的服务，其他端口一个都没开

happyxhw101

2023-09-21 11:02:03 +08:00

我用的 openwrt ，日志上天天有国外 ip ，我现在对外端口全部通过 nginx 代理，包括 http ，ssh 等，只要是国外 ip 就返回 404, 同时监视日志只要是国外 ip 就丢到 ipset 里面永久封禁：

```
{"msec": "1695250093.634", "connection": "11974", "connection_requests": "1", "pid": "28", "request_id": "04618a16e27a69de2c2dd35d3be619e2", "request_length": "118", "remote_addr": "165.227.180.202", "remote_user": "", "remote_port": "45458", "time_local": "21/Sep/2023:06:48:13 +0800", "time_iso8601": "2023-09-21T06:48:13+ 08:00", "request": "GET /ab2g HTTP/1.1", "request_uri": "/ab2g", "args": "", "code": "404", "body_bytes_sent": "118", "bytes_sent": "297", "http_referer": "", "http_user_agent": "Mozilla/5.0 zgrab/0.x", "http_x_forwarded_for": "", "http_host": "218.74.49.39:8443", "server_name": "book.happyxhw.cn", "request_time": "0.000", "upstream": "", "upstream_connect_time": "", "upstream_header_time": "", "upstream_response_time": "", "upstream_response_length": "", "upstream_cache_status": "", "ssl_protocol": "TLSv1.2", "ssl_cipher": "ECDHE-RSA-AES128-GCM-SHA256", "scheme": "https", "request_method": "GET", "server_protocol": "HTTP/1.1", "pipe": ".", "gzip_ratio": "1.36", "http_cf_ray": "", "allowed": "no", "geoip_country_code": "US", "geoip_city": "Clifton"}

```

CEBBCAT

2023-09-21 11:09:21 +08:00

建议发帖前深呼吸组织一下语言，我最近去图书馆，发现传统一些的纸本杂志的文字组织也都还不错，楼主可以找来看看借鉴学习

zuijiapangzi

2023-09-21 11:13:10 +08:00

@happyxhw101 能细讲下你的 nginx 和 ipset 操作吗？想学习学习。

目前我也是 ikuai 。主要用 ddns ，映射 nas 上面的服务到公网，但是非常蛋疼的是我网线如果掉了再接过去，需要重启 ikuai 。不知道什么傻逼机制。
现在主要设备是一台 pve 虚拟机上面虚拟群辉，还有一台小型机器，在跑部分 docker 。

testver

2023-09-21 11:21:47 +08:00

一定要主路由+旁路由的方式，主路由尽量采用传统路由，稳定是第一位的。

happyxhw101

2023-09-21 11:25:33 +08:00

@zuijiapangzi 你爱快的端口会不会是 docker 的，docker 会绕过 iptables

happyxhw101

2023-09-21 11:30:52 +08:00

@zuijiapangzi 就是 niginx 里面配上 geoip 模块，然后记到日志里面去，和你在 opensuse 里面类似，然后
用 ipset

ipset create blocknet hash:net
iptables -I INPUT -m set --match-set blocknet src -j DROP
ipset add blocknet 43.135.25.0/24

tinola

2023-09-21 12:15:21 +08:00

没有公网 IP ，用的 ipv6,貌似还算清静。

zuijiapangzi

2023-09-22 09:33:14 +08:00

@happyxhw101 我 ikuai 是在 pve 上的，把光猫的端口单独接入 ikuai 当 wan 口。然后虚拟其他端口为 lan 口。
关于 ipset 主要是想知道，这一步是不是得手动？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/975749

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.