有远程需求,所以要了公网,但是发现天天有人扫描端口,有什么解决办法吗?
现在是openwrt路由器的黑白名单,但是臃肿不易操作,也怕误操作或者误封锁导致连不上去
9 个赞
首先 你有国外的需求么
你可以封掉传入 不封传出
另外的 建议开防火墙 只给需要的服务开
比如22 3389不要开
就算你远程也尽量改个端口
这些容易被扫被黑
我ssh就改成了2000以后的端口 哈哈
8 个赞
现在情况就是封了所有,然后只放少量IP段
但问题是,IP不连续的话,放通就比较麻烦,需要一条条写策略
至于端口,早改了几万以上的端口了,协议解决不了,还是会被扫到协议
不管是黑名单还是白名单,需要手工写的东西太多,不灵活,而且容易误封或者误操作导致自己连不上了
6 个赞
难搞哦
要不你国外用啥ip
直接做个域名 然后拉它的txt记录 或者ipv4指向
动态调整?
5 个赞
fail2ban
4 个赞
公网开了端口,被人天天扫是常态
4 个赞
被扫是不可避免的,装个fail2ban,自动封异常IP
6 个赞
我v4就只开了几个端口,我都不知道有没有被扫。。。主要在用v6,v6没有防火墙,总不会有人闲到扫v6吧
4 个赞
写个脚本每分钟执行一次,自动把这些扫的IP拉黑名单里去,我就是这么干的
2 个赞
我现在是公网只开VPN端口,在外面用VPN连到家里再访问家里服务
1 个赞
这个有openwrt的吗?
让他自动加防火墙策略?
1 个赞
有的,百度一堆教程
4 个赞
被扫正常,协议没办法的。现在扫描工具都能侦测协议的。确保安全就好了,其他的也没办法
1 个赞
有几台 windows服务器也是,开了3389 的远程桌面,扫的人太多自己都登不上去,端口改成 1 万以上也没用,还是一样扫。
我试了一下,K2P 32M闪存好像装不了fail2ban ,看着报错是要python环境,至少9M空间,我装完OP已经还剩3M了,尴尬
回头看看win自带的防护有没有好办法
ssh关闭密码解锁即可,用私钥解锁最方便。比较难搞的是国内经常有人扫子域名和路径爆破,这个确实是不知道怎么防范。
屏蔽ip段不用自己一点点写规则,直接用cloudflare的安全规则就行,设置仅中国大陆访问。
加cdn,加规则限制国外访问
1 个赞
扫描是防不了的,如果自用,直接 IP 白名单就行了。
家宽 IP 不固定可以用端口敲门。
只允许证书登录
1 个赞
EtherDream/anti-portscan: 使用 iptables 防止端口扫描 (github.com),这个项目就是用来防端口扫描的。网站用高位冷门端口,用这个项目监控网站端口前后的端口,有人扫到了就自动用iptables封ip。这位大佬还有一个repo,可能也有用:iptables里默认drop掉所有ip的连接,除非某个ip发送了一个特别的udp包,这样的话允许这个ip访问。这个udp包可以通过js用webrtc在另一个网站上发送。EtherDream/js-port-knocking: Web 端口敲门的奇思妙想 (github.com)