最贵的往往是那些免费带入坑，不能自拔～

目前用的 nas 半年前就被我映射到公网上面了...
但愿平安...

我对外只有一个 IPSec 的服务，其他端口一个都没开

我用的 openwrt ，日志上天天有国外 ip ，我现在对外端口全部通过 nginx 代理，包括 http ，ssh 等， 只要是国外 ip 就返回 404, 同时监视日志只要是国外 ip 就丢到 ipset 里面永久封禁：

```
{"msec": "1695250093.634", "connection": "11974", "connection_requests": "1", "pid": "28", "request_id": "04618a16e27a69de2c2dd35d3be619e2", "request_length": "118", "remote_addr": "165.227.180.202", "remote_user": "", "remote_port": "45458", "time_local": "21/Sep/2023:06:48:13 +0800", "time_iso8601": "2023-09-21T06:48:13+ 08:00", "request": "GET /ab2g HTTP/1.1", "request_uri": "/ab2g", "args": "", "code": "404", "body_bytes_sent": "118", "bytes_sent": "297", "http_referer": "", "http_user_agent": "Mozilla/5.0 zgrab/0.x", "http_x_forwarded_for": "", "http_host": "218.74.49.39:8443", "server_name": "book.happyxhw.cn", "request_time": "0.000", "upstream": "", "upstream_connect_time": "", "upstream_header_time": "", "upstream_response_time": "", "upstream_response_length": "", "upstream_cache_status": "", "ssl_protocol": "TLSv1.2", "ssl_cipher": "ECDHE-RSA-AES128-GCM-SHA256", "scheme": "https", "request_method": "GET", "server_protocol": "HTTP/1.1", "pipe": ".", "gzip_ratio": "1.36", "http_cf_ray": "", "allowed": "no", "geoip_country_code": "US", "geoip_city": "Clifton"}

```

建议发帖前深呼吸组织一下语言，我最近去图书馆，发现传统一些的纸本杂志的文字组织也都还不错，楼主可以找来看看借鉴学习

@happyxhw101 能细讲下你的 nginx 和 ipset 操作吗？想学习学习。

目前我也是 ikuai 。主要用 ddns ，映射 nas 上面的服务到公网，但是非常蛋疼的是我网线如果掉了再接过去，需要重启 ikuai 。不知道什么傻逼机制。
现在主要设备是一台 pve 虚拟机上面虚拟群辉，还有一台小型机器，在跑部分 docker 。

一定要主路由+旁路由的方式，主路由尽量采用传统路由，稳定是第一位的。

@zuijiapangzi 你爱快的端口会不会是 docker 的，docker 会绕过 iptables

@zuijiapangzi 就是 niginx 里面配上 geoip 模块，然后记到日志里面去，和你在 opensuse 里面类似，然后
用 ipset

ipset create blocknet hash:net
iptables -I INPUT -m set --match-set blocknet src -j DROP
ipset add blocknet 43.135.25.0/24

没有公网 IP ，用的 ipv6,貌似还算清静。

@happyxhw101 我 ikuai 是在 pve 上的，把光猫的端口单独接入 ikuai 当 wan 口。然后虚拟其他端口为 lan 口。
关于 ipset 主要是想知道，这一步是不是得手动？