咁大家要公道少少,人同自己背景相近嘅人共情好合理啫
當年爆武肺支那人咪一樣擺撐警共匪李文亮上神檯 :golden-agree:
很多墙外匿名站出于安全的角度,使用CDN隐藏真实IP,不幸的是有很多方法可以绕过CDN。
IPv4的总数是有限的(42亿个),网络上有很多扫描器在一刻不停的扫描,一天就可以过一遍全网IP。如果网站没有做好防御,这些扫描器就会找到IP地址上面对应的网站。很多扫描器的数据甚至是公开可查的。
幸运的是,只要做足防御,就完全不用担心源站IP泄露。这里科普一下防止源站IP泄露的方法。
cloudflare会提供回源IP的名单,见https://www.cloudflare.com/ips/。我们要做的就是把这些IP全部添加进防火墙白名单。
这样除了cloudflare,其它一切ip就都没法连接服务器的https端口了。
防火墙白名单的具体规则是:
本文这里没有用防火墙限制出站连接,如果对安全有需求,也可以禁用所有的出站连接。通常而言,对入站规则做设置就足以防止IP扫描了。
我通常用的防火墙是nftables,在debian/ubuntu系统上,可以这样设置防火墙:
sudo apt install nftables
sudo vim /etc/nftables.conf
然后写入如下的配置文件
flush ruleset
table inet firewall {
chain inbound {
type filter hook input priority 0; policy drop;
ct state vmap { established : accept, related : accept, invalid : drop }
iifname lo accept
ip saddr {
173.245.48.0/20,
103.21.244.0/22,
103.22.200.0/22,
103.31.4.0/22,
141.101.64.0/18,
108.162.192.0/18,
190.93.240.0/20,
188.114.96.0/20,
197.234.240.0/22,
198.41.128.0/17,
162.158.0.0/15,
104.16.0.0/13,
104.24.0.0/14,
172.64.0.0/13,
131.0.72.0/22
} tcp dport { 443 } accept
tcp dport 22 accept
}
chain forward {
type filter hook forward priority 0; policy drop;
}
}
上面这个配置文件会:
sudo nft -f /etc/nftables.conf
输入sudo nft list ruleset
,如果显示上面的配置文件,就说明保存成功。
对nftables不熟的朋友,也可以用Ubuntu自带的ufw建立防火墙,安全性是一样的。
# 启用ufw
ufw enable
# 允许所有出站,禁止所有入站
ufw default allow outgoing
ufw default deny incoming
# 允许22端口
ufw allow 22
# 允许cloudflare ip地址连接443
ufw allow from 173.245.48.0/20 to any port 443 proto tcp
ufw allow from 103.21.244.0/22 to any port 443 proto tcp
# (以下略)
按照上面的方法,就可以100%防止IP扫描。不过,黑客可以向cloudflare works上传脚本,利用cloudflare的IP地址去扫描。这种攻击形式很少见,不过,为了防止这种形式的探测,我们还要打开验证CF客户端证书。
具体而言,需要打开nginx配置里的以下选项:
ssl_verify_client on;
ssl_client_certificate /xxxxx/cloudflare_certificate.pem;
最后,需要让nginx拒绝无效请求,打开以下选项
ssl_reject_handshake on;
但是需要注意,最后这个指令只在1.19.4以上的nginx版本可用,你可能需要自己编译nginx。
除了ip扫描,如果网站在配置CF前已经有了DNS记录,那么从这些DNS记录也可以匹配到源站IP。如果是全新的服务器,在配置完成之前,一定不要连上公网。