Reduce abuse complaints when running vpn service

Az VPN vagy proxy szolgáltatás futtatása a szerveren több kockázattal is járhat. Az IP tulajdonosaként
a felhasználók felelősek az Ön szolgáltatásán keresztül végzett visszaélésekért és illegális
tevékenységekért. Az ebből adódó probléma ellen
aktív lépéseket kell tennie a szerver védelme érdekében
reputation.

Strict Mode:
Whitelisting

One way to make sure your server is not being abused is to only allow
bizonyos tevékenységek ellen. Ezt az úgynevezett szűrési módszert nem
szükséges teljesen megelőzni a visszaéléseket; a felhasználók továbbra is támadhatnak másokat és ez
a szerver felfüggesztéséhez vezethet. Azonban jelentősen nehezebbé teszi a visszaélést,
és nagy valószínűséggel elriasztja a visszaéléseket elkövető felhasználókat
services (and, unfortunately, some legitimate users as well).

What we’re proposing here is to drop all incoming and outgoing
csomagokat a szerverről, kivéve azokat, amelyek szükségesek.
Így tehet meg ezt.

The only thing you need to consider before following the guide is
hogy nincs más tűzfal engedélyezve a szerveren.
Bár ez az útmutató az Ubuntu folyamatát ismerteti, nem szükséges, hogy
az az operációs rendszer legyen. A folyamat logikája más operációs rendszerekhez azonos
well.

1. Installing UFW

Először az UFW-t kell telepítenie.

sudo apt install ufw

2.
Blocking all incoming and outgoing connections

Make sure you disable UFW because the following commands may
szüntesse meg a kapcsolatot a szerverrel:

sudo ufw disable

the commands below will basically drop every packet that tries to
lépjen be vagy ki a szerverből. később csak azokat a kapcsolatokat engedélyezzük, amelyek
our users need:

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. Allowing
yourself to connect to your server

Most engedélyezzük a bejövő kapcsolatokat a 22-es porton, amely a port
SSH kapcsolatok létesítéséhez használatos. Bár mindig jó ötlet
megváltoztatni az SSH portot valamire másra:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Míg a kimenő kapcsolatok már blokkolva vannak, kifejezetten
block all outgoing packets that have port 22 as their destination (in
eset: ha később megváltoztatja az alapértelmezett szabályzatot). Ez mindkettőt
you and your users unable to connect to other servers using SSH on port
22. Bár bonyolultnak tűnik, valójában megoldja az egyik leggyakoribb
panaszt, amely a szerver felfüggesztéséhez vezet. Ezzel a paranccsal
parancs használatával egyetlen felhasználó sem tudja majd végrehajtani az SSH brute force támadást a szerverről
your server:

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

Miután engedélyezte a bejövő kapcsolatokat a 22-es porton, bekapcsolhatja a
tűzfalat anélkül, hogy szétszakadna a szerverrel:

sudo ufw enable

Ha netán szétszakad a szerverrel, használhatja
VNC to gain access to your server again and disable your firewall.

4.
Allowing your users to connect to your server to get proxy/VPN
services

Nyilvánvalóan a felhasználóinak csatlakozniuk kell a szerver proxy-
szolgáltatásaihoz és használniuk kell azokat. Az összes bejövő kapcsolat elvetése ezt lehetetlenné teszi a
them. So, we need to allow the proxy/VPN ports used by the users for
például tegyük fel, hogy engedélyezni szeretnénk, hogy a felhasználók az 1194-es portra csatlakozzanak, amelyet
általában az OpenVPN használ. Ehhez írja be a következő parancsot:

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

Vagy, ha OpenVPN felett UDP fut:

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

A logika ugyanez más VPN és proxy szerverek esetében is, csak
find out which port your users need to connect to and allow incoming
connections to it.

Most a felhasználói csatlakozhatnak a szerverhez és az VPN-hez, de nem
tudnak csatlakozni a külvilághoz. Ez az engedélyezési lista pontos
célja: a felhasználók nem tudnak csatlakozni egyetlen porthoz sem,
ha mi nem engedélyezzük. Ez minimálisra csökkenti az esélyt
getting abuse reports.

5.
Allowing your users to visit websites and use
applications

Now we will allow outgoing traffic to ports that are used to browse
a webre, és API hívásokat végezzen webszervereken. Ehhez engedélyeznie kell
a TCP 80-as portot és a TCP 443-as portot. A UDP 443-as port engedélyezése is
engedélyezze felhasználóinak a HTTP3 kapcsolatok létrehozását:

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. Allowing
different services on a need basis

A 80-as és 443-as portok megnyitása általában elegendő, de bizonyos
alkalmazások vagy szoftverek teljes funkcionalitásának eléréséhez más portokat is
engedélyeznie kell a felhasználók számára.

You are generally advised to do your own research and only allow
ports if they’re absolutely required. Each major application has a
networking documentation with information for network administrators
mint Ön. Ezekben a dokumentációkban megtalálhatja, mely portokat használnak az
alkalmazások, és ezeket is engedélyezheteti. Felsorolunk néhány népszerűt
ones as examples.

WhatsApp
(No video or voice call):

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

Git:

sudo ufw allow out 9418/tcp comment “Git”

Some services like Discord,
Zoom,
vagy WhatsApp hanghívások és videohívások porttartomány széles skáláját igényelik, Ön
may open these at your own discretion.

Lenient Mode:
Blacklisting

A portengedélyezésben blokkolsz mindent és csak az adott portokat engedélyezed. A
portblokkolásban mindent engedélyezel és csak az adott portokat blokkolod.

1. Installing UFW

Először telepítenie kell az UFW-t

sudo apt install ufw

2. Blocking the
incoming connections

Make sure you disable UFW because the following commands may
szüntesse meg a kapcsolatot a szerverrel:

sudo ufw disable

It makes sense to block all incoming connections unless we serve
specific services. So let’s reject all incoming traffic:

sudo ufw default deny incoming

Vegyük figyelembe, hogy ezúttal nem blokkolja az összes kimenő kapcsolatot.
Ez lehetővé teszi felhasználóinak, hogy bármelyik portra csatlakozzanak. Ez nem
ajánlott, hacsak nem bízik teljesen a felhasználóiban.

3.
Allowing yourself to connect to your server

Most engedélyezzük a bejövő kapcsolatokat a 22-es porton, amely a
SSH kapcsolatok létrehozásához használt port a szerverhez. Bár mindig
jó ötlet megváltoztatni a SSH portot valami másra:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Ha blokkolni szeretné a SSH portot, hogy elkerülje a SSH erőszakos támadást jelentő visszaéléseket,
a következő parancsot használhatja:

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. Block BitTorrent

Ugyanez a logika alapján blokkolnia kell azokat a portokat, amelyeket a
BitTorrent használ. Azonban mivel ehhez több port is tartozik, szüksége van
to do your research and block public tracker IPs as well as the ports
amelyeket általában a BitTorrent használ.

Ha bármilyen kérdése van, ne habozzon kapcsolatba lépni velünk: submitting a
ticket.