未分類
12 6 月 2020

家宽成功开通 80, 443,建站阻断问题

家宽成功开通 80, 443,建站阻断问题

資深大佬 : zhengrt 5

rt,联通家宽 80,443 固定 ip 开通,建立了个人博客,但是老是有人把没有备案的域名解析过来,就很烦,能不能像机房一样,建立域名白名单,不是在白名单里的跳到阻断页面?现在有爱快和 ros 以及 lede.
请问有没有办法实现?
大佬有話說 (42)

  • 資深大佬 : zhengrt

    成功帮助我解决这个问题的,教你如何获取公网 IP 和 80,443

  • 資深大佬 : vbcity

    要阻断, 基本要用 L7 Filter, 分析 HTTP 请求包的 Host 字段,只允许包含你主机域名的数据包通过, 其他的直接跳转到另一个端口

  • 資深大佬 : jy02201949

    开 80 不怕被发通知么

  • 資深大佬 : cxh116

    默认站点,nginx return 444 。你搜

  • 資深大佬 : wd

    你用啥搭的 web ?你搜下 virtualhost 支持,你把不是你域名的都返回 403 就好了

  • 資深大佬 : qanniu

    @zhengrt 谁能看懂#1 的汉字是什么意思?

  • 資深大佬 : zhengrt

    @vbcity 是自动的吗?

  • 資深大佬 : zhengrt

    @jy02201949 许可的

  • 資深大佬 : zhengrt

    @wd 好的谢谢

  • 資深大佬 : zhengrt

    我的意思是基于网络设备阻断,不是 web 系统里阻断

  • 資深大佬 : zhengrt

    比如在主路由就阻断了

  • 資深大佬 : Meano

    TCP 的握手总得过吧,sni 识别也在握手之后,一般 iptables 规则是不行的,得有 sni match ( https)或 string match( http)标记链接,有功夫折腾这个还不如回个 444,match 总会造成性能上的损耗,在应用层 down 掉不影响正常链接,链路上的处理如果路由性能不好就会变慢点

  • 資深大佬 : kennylam777

    以你的設備,80 不可能了,443 的 SNI 可以用 RouterOS 解決,tls-host
    https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

  • 資深大佬 : 934831065ldc

    正常情况下使用 nginx 就行了,将不是自己的域名,返回 404 就可以了。 能提供如何获取的家宽 80 、443 端口么

  • 資深大佬 : a3587556

    如果你的路由器支持 iptables 的话就能在 4 层把不符合条件的 drop
    https://github.com/fifilyu/module-http-whitelist

  • 資深大佬 : samondlee

    大佬可否公开呀

  • 資深大佬 : zhengrt

    @kennylam777 谢谢,
    有没有什么软路由软件可以实现呢?

  • 資深大佬 : zhengrt

    @a3587556 可以考虑加一个 linux 中转

  • 資深大佬 : zhengrt

    就是有没有什么软件,可以实现像机房那样的白名单系统呢

  • 資深大佬 : a3587556

    @zhengrt openWrt 好像支持 iptables 可以刷个来试试

  • 資深大佬 : 263

    server {
    listen 80 default_server;
    server_name _;
    return 444;
    }

    server {
    listen 443 default_server;
    server_name _;
    ssl_certificate /etc/nginx/ssl/xxx.com.pem;
    ssl_certificate_key /etc/nginx/ssl/xxx.com.key;
    return 444;
    }

  • 資深大佬 : ericbize

    @zhengrt mikrotik 的防火墙有 7 层识别

  • 資深大佬 : zhengrt

    @a3587556 好的我试试

  • 資深大佬 : exceldream

    大佬如何开通 ? 手动狗头

  • 資深大佬 : caola

    @zhengrt nginx 安装 lua-nginx-module 模块,
    server {
    listen 80;
    server_name _;
    location / {
    content_by_lua_block {
    ngx.exit(ngx.HTTP_CLOSE)
    return
    }
    }
    }

  • 資深大佬 : caola

    443 端口,不绑定 ssl 是无法正常访问的,所以不用特别处理

  • 資深大佬 : fs418082760

    反向代理?

  • 資深大佬 : LGA1150

    iptables HTTP 白名单:
    iptables -N httpacl
    # 放行不带 Host:头的数据
    iptables -A httpacl -m string ! –hex-string “|0d0a|Host:” –algo bm –from 12 -j RETURN
    # 放行百度
    iptables -A httpacl -m string –hex-string “baidu.com|0d0a|” –algo bm –from 17 -j RETURN
    # 屏蔽其他数据
    iptables -A httpacl -p tcp -j REJECT –reject-with tcp-reset

    # 只匹配 80 端口 HTTP GET 或 HEAD 数据包到白名单
    iptables -A INPUT -p tcp –dport 80 -m u32 –u32 “0x0>>0x16&[email protected]>>0x1a&[email protected]=0x47455420” -j httpacl
    iptables -A INPUT -p tcp –dport 80 -m u32 –u32 “0x0>>0x16&[email protected]>>0x1a&[email protected]=0x48454144” -j httpacl

    其中:
    0d0a == “rn”
    47455420 == “GET “
    48454144 == “HEAD”

  • 資深大佬 : zhengrt

    好的谢谢大家!需要方法的可以私聊我 tg

  • 資深大佬 : gyjames95

    nginx 添加个自己的 servername 非自己 servername 的直接通配 /转 404 应该可以吧

  • 資深大佬 : locoz

  • 資深大佬 : geekvcn

    走关系的吧?家宽备案?

  • 資深大佬 : xinJang

    我是来看看怎么开端口的

  • 資深大佬 : zhengrt

    统一回复,深圳联通可以找我

  • 資深大佬 : flying2010

    被查到会断网吧?

  • 資深大佬 : systemcall

    返回 404 不也返回东西了吗?感觉直接丢掉要好些吧,怕请喝茶

  • 資深大佬 : zhengrt

    @systemcall 有道理

  • 資深大佬 : zhengrt

    统一回复,大家都知道封端口在 BARS 上,那么进 BARS 之后不就解决了吗?速率也可以随意调整

  • 資深大佬 : huaes

    @zhengrt 不懂就问 ,怎么进 BARS 解除限制?

  • 資深大佬 : hello365

    厉害了…BARS 个人能进?

  • 資深大佬 : LockeyQQ

    @zhengrt 那怎么进 BARS 是个问题

  • 資深大佬 : yelocat

    怎么进 BARS 呢