这是一个创建于 423 天前的主题,其中的信息可能已经有所发展或是发生改变。
有公网 ip 的家宽需注意,尽量不开放端口。
之前用的是路由系统 ikuai ,tmd 有 bug ,无理由开放端口,还发现个问题,免费版简直是耍流氓,nat 还限速了,ip 地址分组每次只能添加 1000 个,对 CIDR 格式的 ip 解析上 [例如添加 5 个 IP 分组就不行了感觉] ,感觉有限制,企业版不清楚。
昨晚开始慢慢迁移到 opnsense 防火墙系统,配合 ip 段开源库,逐步仅对国内 ip 开放相应端口。
最贵的往往是那些免费带入坑,不能自拔~
之前用的是路由系统 ikuai ,tmd 有 bug ,无理由开放端口,还发现个问题,免费版简直是耍流氓,nat 还限速了,ip 地址分组每次只能添加 1000 个,对 CIDR 格式的 ip 解析上 [例如添加 5 个 IP 分组就不行了感觉] ,感觉有限制,企业版不清楚。
昨晚开始慢慢迁移到 opnsense 防火墙系统,配合 ip 段开源库,逐步仅对国内 ip 开放相应端口。
最贵的往往是那些免费带入坑,不能自拔~
 |
1
Enzoliu 2023-09-21 10:57:25 +08:00
目前用的 nas 半年前就被我映射到公网上面了...
但愿平安... |
 |
2
leefor2020 2023-09-21 10:59:27 +08:00
我对外只有一个 IPSec 的服务,其他端口一个都没开
|
 |
3
happyxhw101 2023-09-21 11:02:03 +08:00
我用的 openwrt ,日志上天天有国外 ip ,我现在对外端口全部通过 nginx 代理,包括 http ,ssh 等, 只要是国外 ip 就返回 404, 同时监视日志只要是国外 ip 就丢到 ipset 里面永久封禁:
``` {"msec": "1695250093.634", "connection": "11974", "connection_requests": "1", "pid": "28", "request_id": "04618a16e27a69de2c2dd35d3be619e2", "request_length": "118", "remote_addr": "165.227.180.202", "remote_user": "", "remote_port": "45458", "time_local": "21/Sep/2023:06:48:13 +0800", "time_iso8601": "2023-09-21T06:48:13+ 08:00", "request": "GET /ab2g HTTP/1.1", "request_uri": "/ab2g", "args": "", "code": "404", "body_bytes_sent": "118", "bytes_sent": "297", "http_referer": "", "http_user_agent": "Mozilla/5.0 zgrab/0.x", "http_x_forwarded_for": "", "http_host": "218.74.49.39:8443", "server_name": "book.happyxhw.cn", "request_time": "0.000", "upstream": "", "upstream_connect_time": "", "upstream_header_time": "", "upstream_response_time": "", "upstream_response_length": "", "upstream_cache_status": "", "ssl_protocol": "TLSv1.2", "ssl_cipher": "ECDHE-RSA-AES128-GCM-SHA256", "scheme": "https", "request_method": "GET", "server_protocol": "HTTP/1.1", "pipe": ".", "gzip_ratio": "1.36", "http_cf_ray": "", "allowed": "no", "geoip_country_code": "US", "geoip_city": "Clifton"} ``` |
 |
4
CEBBCAT 2023-09-21 11:09:21 +08:00  3
建议发帖前深呼吸组织一下语言,我最近去图书馆,发现传统一些的纸本杂志的文字组织也都还不错,楼主可以找来看看借鉴学习
|
 |
5
zuijiapangzi 2023-09-21 11:13:10 +08:00
@happyxhw101 能细讲下你的 nginx 和 ipset 操作吗?想学习学习。
目前我也是 ikuai 。主要用 ddns ,映射 nas 上面的服务到公网,但是非常蛋疼的是我网线如果掉了再接过去,需要重启 ikuai 。不知道什么傻逼机制。 现在主要设备是一台 pve 虚拟机上面虚拟群辉,还有一台小型机器,在跑部分 docker 。 |
 |
6
testver 2023-09-21 11:21:47 +08:00
一定要主路由+旁路由的方式,主路由尽量采用传统路由,稳定是第一位的。
|
|
7
happyxhw101 2023-09-21 11:25:33 +08:00
@zuijiapangzi 你爱快的端口会不会是 docker 的,docker 会绕过 iptables
|
|
8
happyxhw101 2023-09-21 11:30:52 +08:00
@zuijiapangzi 就是 niginx 里面配上 geoip 模块,然后记到日志里面去,和你在 opensuse 里面类似,然后
用 ipset ipset create blocknet hash:net iptables -I INPUT -m set --match-set blocknet src -j DROP ipset add blocknet 43.135.25.0/24 |
 |
9
tinola 2023-09-21 12:15:21 +08:00
没有公网 IP ,用的 ipv6,貌似还算清静。
|
|
10
zuijiapangzi 2023-09-22 09:33:14 +08:00
@happyxhw101 我 ikuai 是在 pve 上的,把光猫的端口单独接入 ikuai 当 wan 口。然后虚拟其他端口为 lan 口。
关于 ipset 主要是想知道,这一步是不是得手动? |
Select Language