V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
weip
V2EX  ›  信息安全

最贵的往往是那些免费带入坑,不能自拔~

  •  
  •   weip · 2023-09-21 09:32:47 +08:00 · 3351 次点击
    这是一个创建于 463 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有公网 ip 的家宽需注意,尽量不开放端口。
    之前用的是路由系统 ikuai ,tmd 有 bug ,无理由开放端口,还发现个问题,免费版简直是耍流氓,nat 还限速了,ip 地址分组每次只能添加 1000 个,对 CIDR 格式的 ip 解析上 [例如添加 5 个 IP 分组就不行了感觉] ,感觉有限制,企业版不清楚。

    昨晚开始慢慢迁移到 opnsense 防火墙系统,配合 ip 段开源库,逐步仅对国内 ip 开放相应端口。
    最贵的往往是那些免费带入坑,不能自拔~
    10 条回复    2023-09-22 09:33:14 +08:00
    Enzoliu
        1
    Enzoliu  
       2023-09-21 10:57:25 +08:00
    目前用的 nas 半年前就被我映射到公网上面了...
    但愿平安...
    leefor2020
        2
    leefor2020  
       2023-09-21 10:59:27 +08:00
    我对外只有一个 IPSec 的服务,其他端口一个都没开
    happyxhw101
        3
    happyxhw101  
       2023-09-21 11:02:03 +08:00
    我用的 openwrt ,日志上天天有国外 ip ,我现在对外端口全部通过 nginx 代理,包括 http ,ssh 等, 只要是国外 ip 就返回 404, 同时监视日志只要是国外 ip 就丢到 ipset 里面永久封禁:

    ```
    {"msec": "1695250093.634", "connection": "11974", "connection_requests": "1", "pid": "28", "request_id": "04618a16e27a69de2c2dd35d3be619e2", "request_length": "118", "remote_addr": "165.227.180.202", "remote_user": "", "remote_port": "45458", "time_local": "21/Sep/2023:06:48:13 +0800", "time_iso8601": "2023-09-21T06:48:13+ 08:00", "request": "GET /ab2g HTTP/1.1", "request_uri": "/ab2g", "args": "", "code": "404", "body_bytes_sent": "118", "bytes_sent": "297", "http_referer": "", "http_user_agent": "Mozilla/5.0 zgrab/0.x", "http_x_forwarded_for": "", "http_host": "218.74.49.39:8443", "server_name": "book.happyxhw.cn", "request_time": "0.000", "upstream": "", "upstream_connect_time": "", "upstream_header_time": "", "upstream_response_time": "", "upstream_response_length": "", "upstream_cache_status": "", "ssl_protocol": "TLSv1.2", "ssl_cipher": "ECDHE-RSA-AES128-GCM-SHA256", "scheme": "https", "request_method": "GET", "server_protocol": "HTTP/1.1", "pipe": ".", "gzip_ratio": "1.36", "http_cf_ray": "", "allowed": "no", "geoip_country_code": "US", "geoip_city": "Clifton"}

    ```
    CEBBCAT
        4
    CEBBCAT  
       2023-09-21 11:09:21 +08:00   ❤️ 3
    建议发帖前深呼吸组织一下语言,我最近去图书馆,发现传统一些的纸本杂志的文字组织也都还不错,楼主可以找来看看借鉴学习
    zuijiapangzi
        5
    zuijiapangzi  
       2023-09-21 11:13:10 +08:00
    @happyxhw101 能细讲下你的 nginx 和 ipset 操作吗?想学习学习。

    目前我也是 ikuai 。主要用 ddns ,映射 nas 上面的服务到公网,但是非常蛋疼的是我网线如果掉了再接过去,需要重启 ikuai 。不知道什么傻逼机制。
    现在主要设备是一台 pve 虚拟机上面虚拟群辉,还有一台小型机器,在跑部分 docker 。
    testver
        6
    testver  
       2023-09-21 11:21:47 +08:00
    一定要主路由+旁路由的方式,主路由尽量采用传统路由,稳定是第一位的。
    happyxhw101
        7
    happyxhw101  
       2023-09-21 11:25:33 +08:00
    @zuijiapangzi 你爱快的端口会不会是 docker 的,docker 会绕过 iptables
    happyxhw101
        8
    happyxhw101  
       2023-09-21 11:30:52 +08:00
    @zuijiapangzi 就是 niginx 里面配上 geoip 模块,然后记到日志里面去,和你在 opensuse 里面类似,然后
    用 ipset

    ipset create blocknet hash:net
    iptables -I INPUT -m set --match-set blocknet src -j DROP
    ipset add blocknet 43.135.25.0/24
    tinola
        9
    tinola  
       2023-09-21 12:15:21 +08:00
    没有公网 IP ,用的 ipv6,貌似还算清静。
    zuijiapangzi
        10
    zuijiapangzi  
       2023-09-22 09:33:14 +08:00
    @happyxhw101 我 ikuai 是在 pve 上的,把光猫的端口单独接入 ikuai 当 wan 口。然后虚拟其他端口为 lan 口。
    关于 ipset 主要是想知道,这一步是不是得手动?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   979 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:46 · PVG 03:46 · LAX 11:46 · JFK 14:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.