【教程】【防护】教你简单防护被censys.io泄露的源站ip

QLD.INK linux 
来自loc论坛  ukmg   xuhao00802位大佬

套了cdn之后,只要设置源站只允许cdn的ip回源就好了。。。

这里做下总结。

---------------------
以下是教程。
---------------------

A.Centos:

1. yum install firewalld(如果有就不用装了)

2. cd /etc/firewalld/zones/

3. vi cfrules.xml

粘贴以下代码

  1. <zone>
  2.   <source address="173.245.48.0/20"/>
  3.   <source address="103.21.244.0/22"/>
  4.   <source address="103.22.200.0/22"/>
  5.   <source address="103.31.4.0/22"/>
  6.   <source address="141.101.64.0/18"/>
  7.   <source address="108.162.192.0/18"/>
  8.   <source address="190.93.240.0/20"/>
  9.   <source address="188.114.96.0/20"/>
  10.   <source address="197.234.240.0/22"/>
  11.   <source address="198.41.128.0/17"/>
  12.   <source address="162.158.0.0/15"/>
  13.   <source address="104.16.0.0/12"/>
  14.   <source address="172.64.0.0/13"/>
  15.   <source address="131.0.72.0/22"/>
  16.   <port protocol="tcp" port="80"/>
  17.   <port protocol="tcp" port="443"/>
  18. </zone>

复制代码

上面的ip列表是cf的回源ip
详细请参考 https://www.cloudflare.com/ips/ 回源IP列表

4. firewall-cmd --reload
如显示success则成功。

B.其他系统:

使用ufw

例示命令

  1. sudo ufw allow proto tcp from 192.168.0.0/24 to any port 80
  2. sudo ufw allow proto tcp from 192.168.0.0/24 to any port 443

复制代码

改成cf的ip段慢慢添加吧(楼主还不会批量添加。。。)

使用iptables

例示命令

  1. iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
  2. iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT

改成cf的ip段慢慢添加吧(楼主还不会批量添加。。。)

service iptables save
service iptables restart

----------------------
附上nodecache 也就是楼主签名的cdn的回源列表,使用nodecache就添加这个

  1. 23.225.74.0/24
  2. 23.225.94.0/24
  3. 172.247.246.0/24

---------------------
补充
---------------------

1.用类似的方法也可以给自己小鸡的shh端口添加白名单(谨慎留好备用入口再添加)。。。
添加后小鸡就基本全部对外封闭了,安全性很高。

2.其他cdn也可以找客服要回源IP,同理添加。

3.CloudFlare用第三方的面板,CNAME接入可以防止被打到回源。。。

THE END
分享
二维码
< <上一篇
下一篇>>