全球主机交流论坛

标题: 有效防止端口被封的办法 [打印本页]
作者: a86913179    时间: 2022-4-21 15:54
标题: 有效防止端口被封的办法
本帖最后由 a86913179 于 2022-4-23 00:02 编辑

去ipip.net查自己家宽IP和蜂窝网络IP所在的网段(最下面ASN数据那里的CIDR就是本地运营商提供给民用的,像我的家宽给的是/13,手机网络给的是/12,全都覆盖了),在Linux服务器上用nftables将这2个段加入入站白名单,其他入站流量一律drop。

嫌nftables太复杂的可以安装个firewalld。

具体操作步骤就不讲了,讲得太详细容易那啥。。。你懂的

补充:

为什么这个方法有效就不解释了 懂的都懂

Windows Server直接用自带的防火墙添加规则即可 图形化界面反而更简单

你还在纠结用什么协议 而我已经起飞



服务器:BWG 年付$46.87 DC6【Debian Unstable 队列fq+原版bbr ss-libev无插件aes-256-gcm加密】

本地:电信千兆 Windows 10 clash-premium(tun模式)
作者: jhsyue    时间: 2022-4-21 15:56
主要家里宽带是动态的 一会这个段一会那个段
作者: rem    时间: 2022-4-21 15:57
就是自嗨呗 有利有弊
作者: ExSky    时间: 2022-4-21 15:58
简单点说,白名单呗
作者: js攻城狮    时间: 2022-4-21 15:58
皇帝的新衣,流量还不是走海底光缆
作者: gcphym1    时间: 2022-4-21 15:59
是CIDR吗 不会经常变吗
作者: rem    时间: 2022-4-21 15:59
jhsyue 发表于 2022-4-21 15:56
主要家里宽带是动态的 一会这个段一会那个段

动态IP也是在一个段或者几个段内有规律的,可以搜索一下比如广东电信IP段
作者: lsin    时间: 2022-4-21 16:08
这肯定有用,好多奇怪的国内IP在扫。关键是动态IP麻烦
作者: 炒土豆丝    时间: 2022-4-21 16:10
用443好还是用高位端口好?
作者: qwerttaa    时间: 2022-4-21 16:11
家里固定宽带就好几个段来回来去的跑
手机就更别提了啊……
作者: jhsyue    时间: 2022-4-21 16:13
rem 发表于 2022-4-21 15:59
动态IP也是在一个段或者几个段内有规律的,可以搜索一下比如广东电信IP段 ...

我觉得可以搞一个脚本 反向通知服务器本地ip 然后服务器再放开
作者: rem    时间: 2022-4-21 16:26
jhsyue 发表于 2022-4-21 16:13
我觉得可以搞一个脚本 反向通知服务器本地ip 然后服务器再放开

这个倒没必要我觉得,ip变动但是ip段是固定的,想要限制的比较死可以像你说的这样做
作者: llovedebian    时间: 2022-4-21 16:48
DDNS + ipset 不是工作量更少,更精准吗?
作者: Vicr    时间: 2022-4-21 16:53
白名单没什么用,流量还是能监控到的,虽然试探时不能访问,但不妨碍他看你不爽,仍把你拉进黑名单啊
作者: jhu    时间: 2022-4-21 16:56
本帖最后由 jhu 于 2022-4-21 16:58 编辑

iptables太麻烦,而且只支持Linux,并且不支持BBR。
为了白名单转发,我自己用go写了个小程序,专门设置了白名单功能,Windows和Linux都能用。

作者: 燕十三丶    时间: 2022-4-21 16:58
异常流量 照样处理 墙已经升级了 除非不走海底电缆
作者: jhu    时间: 2022-4-21 17:05
燕十三丶 发表于 2022-4-21 16:58
异常流量 照样处理 墙已经升级了 除非不走海底电缆

流量异常是指什么?
我平时都用ssh的,感觉也没怎么样,可能我也没啥流量,偶尔用用。搞不明白大家为什么整天研究墙。
作者: MoeWang    时间: 2022-4-21 17:16
只能避免主动探测,无法避免被动探测,你的数据包还要被看一遍。
作者: 燕十三丶    时间: 2022-4-21 17:36
jhu 发表于 2022-4-21 17:05
流量异常是指什么?
我平时都用ssh的,感觉也没怎么样,可能我也没啥流量,偶尔用用。搞不明白大家为什么 ...

最简单的例子 流量过大 这是很明显的特征  还有就是 数据包特征  没有特征就是最大的特征
墙会主动 和 被动探测  比如 把异常ip都拉进列表 平常不处理  开会期间统一ban等等

墙已经升级很智能了  白名单估计就是一个红.头.文件  就能执行
作者: jsenet    时间: 2022-4-21 18:05
jhsyue 发表于 2022-4-21 15:56
主要家里宽带是动态的 一会这个段一会那个段

python写个监听 收到请求密码对的话操作firewalld允许该IP访问梯子端口
作者: jhsyue    时间: 2022-4-21 18:24
jsenet 发表于 2022-4-21 18:05
python写个监听 收到请求密码对的话操作firewalld允许该IP访问梯子端口

也可以 你这个办法更简单
作者: davidsky2012    时间: 2022-4-21 18:35
早就实践几年了:

https://0066.in/archives/860

我曾经发过很多次,但似乎大多数人还是不知道。
作者: nog    时间: 2022-4-21 18:43
此方案可以防主动探测
作者: 省港澳白嫖王    时间: 2022-4-21 18:59
acl+haproxy就行
作者: lylyx    时间: 2022-4-21 19:19
直接按/16或者/24添加白名单就行了,不同段多看几次就知道饿了
作者: wwbfred    时间: 2022-4-21 19:30
本帖最后由 wwbfred 于 2022-4-21 19:37 编辑

看来很多人还是不知道,主动探测是封锁的必要条件,开IP白名单即便是你挂最原始的SS也不会被封锁。这个方法至少现在还是有用的。你也不一定非得用iptables写规则,有的VPS服务商提供防火墙直接用就行。自己写规则也不复杂,也就两行规则,我现在就在用。
iptables -t mangle -A PREROUTING -p udp -s 10.0.0.0/24 --dport 8080 -j ACCEPT
iptables -t mangle -A PREROUTING -p udp --dport 8080 -j DROP
作者: woputby    时间: 2022-4-21 21:09
davidsky2012 发表于 2022-4-21 18:35
早就实践几年了:

https://0066.in/archives/860

大佬厉害
作者: jsenet    时间: 2022-4-21 21:18
davidsky2012 发表于 2022-4-21 18:35
早就实践几年了:

https://0066.in/archives/860

好想法  比我用python做监听要简单点
作者: woputby    时间: 2022-4-21 21:22
wwbfred 发表于 2022-4-21 19:30
看来很多人还是不知道,主动探测是封锁的必要条件,开IP白名单即便是你挂最原始的SS也不会被封锁。这个方法 ...

大佬用debain和nginx的怎么操作?
iptables -t mangle -A PREROUTING -p udp -s 10.0.0.0/24 --dport 8080 -j ACCEPT
iptables -t mangle -A PREROUTING -p udp --dport 8080 -j DROP
这两行代码什么意思?
作者: davidsky2012    时间: 2022-4-21 21:27
wwbfred 发表于 2022-4-21 19:30
看来很多人还是不知道,主动探测是封锁的必要条件,开IP白名单即便是你挂最原始的SS也不会被封锁。这个方法 ...

主动探测并不是封锁的必要条件。虽然对大多数协议来说主动探测是封锁的必要条件,但还是有部分协议没有主动探测的前提条件,所以不会被主动探测。而是通过流量分析的形式封锁端口的。
比如套了tls加上随机路径,这种就无法被主动探测识别,但可以通过客户端连接服务器的tls指纹进行识别。
所以,要应用白名单法防止主动探测,就反而需要选择那些能被主动探测的协议,比如ss。
作者: akkba    时间: 2022-4-21 21:34
有用的, 嘿嘿, 别声张
作者: HOH    时间: 2022-4-21 21:37
老早以前试过了,没用的,某些商家的IP就是这样,端口日抛,所以我索性每天自动按日期换端口
作者: wwbfred    时间: 2022-4-21 22:45
davidsky2012 发表于 2022-4-21 21:27
主动探测并不是封锁的必要条件。虽然对大多数协议来说主动探测是封锁的必要条件,但还是有部分协议没有主 ...

你说的这个当然有可能,但这只是理论,没有被观察到被部署。我只碰到过由于流量太大被墙的,包括TLS指纹在内的流量识别技术我暂时还没有碰到过。
就我个人而言,家庭网关上我客户端前置了个Nginx,TLS参数是我自己配的,不存在指纹问题。但手机上我用的就是shadowrocket,这玩意的指纹要想处理早就处理了。
我说的就是一些观察和实验的现状,不是精确的理论分析,你也不需要咬文嚼字。情况在以后当然也有可能发生变化,但到时候再说就行了。
作者: wwbfred    时间: 2022-4-21 22:49
woputby 发表于 2022-4-21 21:22
大佬用debain和nginx的怎么操作?
iptables -t mangle -A PREROUTING -p udp -s 10.0.0.0/24 --dport 808 ...

这是系统级的东西,直接输命令就行了,和Nginx无关。
第一行是放行10.0.0.0/24对UDP8080端口的访问,第二行是拒绝所有IP对UDP8080端口的访问。由于iptables是按序执行,两条加到一起就是放行10.0.0.0/24拒绝其他IP。
作者: wwbfred    时间: 2022-4-21 22:56
akkba 发表于 2022-4-21 21:34
有用的, 嘿嘿, 别声张

有什么不能声张的,他们超算没那么猛,只靠流量分析假正率肯定是下不来才有了这个策略。我认为这个策略短期内很难产生变化。
作者: sai    时间: 2022-4-21 23:12
本帖最后由 sai 于 2022-4-23 21:57 编辑

学会了
作者: programer    时间: 2022-4-21 23:43
提示: 作者被禁止或删除 内容自动屏蔽
作者: wwbfred    时间: 2022-4-21 23:44
sai 发表于 2022-4-21 23:12
如果我使用ss是TCP吧,另外这10.0.0.0/24只是举例不是实际操作用到的吧。我如果要连接ssh22端口会失败吗 ...

ss是tcp走tcp,udp走udp。用之前最好学一下iptables怎么用,然后多试试就知道了。把自己关外面也没事,只输入命令不固化的话重启就失效了。
作者: davidsky2012    时间: 2022-4-22 00:18
wwbfred 发表于 2022-4-21 22:45
你说的这个当然有可能,但这只是理论,没有被观察到被部署。我只碰到过由于流量太大被墙的,包括TLS指纹 ...

抱歉,我不是要咬文嚼字,我只是根据我现阶段部署蜜罐的钓鱼测试结果进行的说明。现阶段tls加随机路径确实无法观测到主动探测,当然不排除以后会有变化的情况。当然,根据tls指纹进行识别是我猜测的,实际没有根据。
作者: sai    时间: 2022-4-22 07:40
本帖最后由 sai 于 2022-4-23 21:57 编辑
jhu 发表于 2022-4-21 16:56
iptables太麻烦,而且只支持Linux,并且不支持BBR。
为了白名单转发,我自己用go写了个小程序,专门设置了 ...


学习下
作者: sai    时间: 2022-4-22 07:59
本帖最后由 sai 于 2022-4-23 21:56 编辑

看看留言
作者: jhu    时间: 2022-4-22 11:03
sai 发表于 2022-4-22 07:40
软件怎么搭建啊

只是一个端口转发软件,使用命令就能工作,复杂一点的配置可以用config文件,里面有sample
  1. https://github.com/Jerry-SDC/tpf
复制代码
作者: sai    时间: 2022-4-22 11:12
本帖最后由 sai 于 2022-4-23 21:56 编辑

看一看



欢迎光临 全球主机交流论坛 (https://www.91ai.net/) Powered by Discuz! X3.4