ax2009live 最近的时间轴更新 ax2009live 最近的时间轴更新 | ax2009liveV2EX 第 529621 号会员,加入于 2021-01-20 17:17:25 +08:00 |
ax2009live 最近回复了
2023 年 2 月 12 日 回复了 edis0n0 创建的主题 信息安全 没有静态 IP+只能密码登录 SSH 的服务器怎么做好安全防护? SSH 104 位随机密码还需要配置 fail2ban 吗?客户买了一套 08 年后就没人维护的系统,设备间通过公网 IP+ SSH 通信,只能用密码登录,没源码改不了。 |
2023 年 2 月 12 日 回复了 edis0n0 创建的主题 信息安全 没有静态 IP+只能密码登录 SSH 的服务器怎么做好安全防护? SSH 104 位随机密码还需要配置 fail2ban 吗?客户买了一套 08 年后就没人维护的系统,设备间通过公网 IP+ SSH 通信,只能用密码登录,没源码改不了。 |
指定 DDNS 的域名访问 SSH 不就可以了吗?可以减少 99.99%的风险;
比如家里的动态域名为 home1.domail.com home2.domain.com 如果有多个,可以自行增加;
服务器建立文件 ipupdate 并赋予执行权限,crontab -e 定期执行这个文件,比如十分钟执行这个文件
ipupdate
#!/bin/sh
home1_ip=`ping home1.domain.com -c 1 | sed '1{s/[^(]*(//;s/).*//;q}'`
home2_ip=`ping home2.domain.com -c 1 | sed '1{s/[^(]*(//;s/).*//;q}'`
new_ip=$home1_ip,$home2_ip
port1=22
cd `dirname $0`
if [ -e './home1_ip.txt' ]; then
home1old_ip=`tail ./home1_ip.txt -n 1`
home2old_ip=`tail ./home2_ip.txt -n 1`
if [ "$home1old_ip" != "$home1_ip" ]||[\
"$home2old_ip" != "$home2_ip" ] ; then
old_ip=$home1old_ip,$home2old_ip
`/sbin/iptables -D INPUT -p tcp -m multiport --dport $port1 -s $old_ip -j ACCEPT`
`/sbin/iptables -I INPUT -p tcp -m multiport --dport $port1 -s $new_ip -j ACCEPT`
echo $home1_ip > ./home1_ip.txt
echo $home2_ip > ./home2_ip.txt
fi
else
`/sbin/iptables -I INPUT -p tcp -m multiport --dport $port1 -s $new_ip -j ACCEPT`
echo $home1_ip > ./home1_ip.txt
echo $home2_ip > ./home2_ip.txt
fi
每十分钟检查动态域名是否有变化,如有变化,更新放行端口;
为了避免服务器重启不放行端口,启动的时候把 ipupdate 同一目录下的 txt 全部删掉,运行 ipupdate 会重新建立;
比如家里的动态域名为 home1.domail.com home2.domain.com 如果有多个,可以自行增加;
服务器建立文件 ipupdate 并赋予执行权限,crontab -e 定期执行这个文件,比如十分钟执行这个文件
ipupdate
#!/bin/sh
home1_ip=`ping home1.domain.com -c 1 | sed '1{s/[^(]*(//;s/).*//;q}'`
home2_ip=`ping home2.domain.com -c 1 | sed '1{s/[^(]*(//;s/).*//;q}'`
new_ip=$home1_ip,$home2_ip
port1=22
cd `dirname $0`
if [ -e './home1_ip.txt' ]; then
home1old_ip=`tail ./home1_ip.txt -n 1`
home2old_ip=`tail ./home2_ip.txt -n 1`
if [ "$home1old_ip" != "$home1_ip" ]||[\
"$home2old_ip" != "$home2_ip" ] ; then
old_ip=$home1old_ip,$home2old_ip
`/sbin/iptables -D INPUT -p tcp -m multiport --dport $port1 -s $old_ip -j ACCEPT`
`/sbin/iptables -I INPUT -p tcp -m multiport --dport $port1 -s $new_ip -j ACCEPT`
echo $home1_ip > ./home1_ip.txt
echo $home2_ip > ./home2_ip.txt
fi
else
`/sbin/iptables -I INPUT -p tcp -m multiport --dport $port1 -s $new_ip -j ACCEPT`
echo $home1_ip > ./home1_ip.txt
echo $home2_ip > ./home2_ip.txt
fi
每十分钟检查动态域名是否有变化,如有变化,更新放行端口;
为了避免服务器重启不放行端口,启动的时候把 ipupdate 同一目录下的 txt 全部删掉,运行 ipupdate 会重新建立;
2023 年 2 月 12 日 回复了 leowll 创建的主题 问与答 请教一个 PPTP 端口 1723 的内网穿透问题 |
威批恩就会容易被各运营商和 GFW 盯上,特别是 VPS 在国外的,一封一个准,没事别折腾;
(如下都是我亲测 ok 的,如有需要可以沟通,名字加 @gmail 就是我的邮箱)
如果你的 VPS 在墙内,
1 、frp 本身有个代理功能,强烈推荐( 墙外的 VPS 是没法使用的,被 GFW 拦截 )
[http_proxy]
type = tcp
remote_port = 3128
plugin = http_proxy
plugin_http_user = user
plugin_http_passwd = password
use_encryption = true
use_compression = true
tls_enable = true
就可以实现大部分威批恩的功能,浏览器或 wifi 设置代理后,就可以访问内网的很多服务,不需要一个一个内网映射;
还可以设置用户和密码
2 、用 docker 创建 IPSec 服务器;映射 udp 500 4500 两个端口到 VPS 上;( 墙外的 VPS 不要试,IP 的 500 4500 端口一定会被 GFW 拦截 )
群晖和威联通的 L2TP/IPSec 服务器,死活连接不了;
最后使用大神的镜像 ( 非常小 ) https://github.com/hwdsl2/docker-ipsec-vpn-server 实现了威批恩内网穿透;
(如下都是我亲测 ok 的,如有需要可以沟通,名字加 @gmail 就是我的邮箱)
如果你的 VPS 在墙内,
1 、frp 本身有个代理功能,强烈推荐( 墙外的 VPS 是没法使用的,被 GFW 拦截 )
[http_proxy]
type = tcp
remote_port = 3128
plugin = http_proxy
plugin_http_user = user
plugin_http_passwd = password
use_encryption = true
use_compression = true
tls_enable = true
就可以实现大部分威批恩的功能,浏览器或 wifi 设置代理后,就可以访问内网的很多服务,不需要一个一个内网映射;
还可以设置用户和密码
2 、用 docker 创建 IPSec 服务器;映射 udp 500 4500 两个端口到 VPS 上;( 墙外的 VPS 不要试,IP 的 500 4500 端口一定会被 GFW 拦截 )
群晖和威联通的 L2TP/IPSec 服务器,死活连接不了;
最后使用大神的镜像 ( 非常小 ) https://github.com/hwdsl2/docker-ipsec-vpn-server 实现了威批恩内网穿透;
Select Language