VPN またはプロキシサービスをサーバー上で実行すると、いくつかのリスクが生じる可能性があります。
IP の所有者であるあなたと、あなたのユーザーが悪用または違法行為について責任を負います
あなたのサービスを通じて行われるアクティビティから保護するために
問題に対処するには、あらかじめ対策を講じて保護する必要があります。
評判
厳密モード
ホワイトリスティング
あなたのサーバーが悪用されていないことを確認する方法の1つは、のみを許可することです
特定のアクティビティに限定します。このホワイトリスト方式は完全ではなく、
ユーザーは他のサーバーへの攻撃に使用でき、その結果あなたのサーバーが
停止される可能性があります。ただし、悪用をより難しくし、攻撃者を
遠ざける効果があります。
サービス(残念ながら、一部の正当なユーザーも含む)。
ここで提案しているのは、すべての受信および送信を削除することです
あなたのサーバーからのパケットは、絶対に必要なもの以外すべてブロックします。
その方法を説明します。
このガイドに従う前に考慮する必要がある唯一のことは
サーバーで他のファイアウォールが有効になっていないことを確認してください。
このガイドではUbuntuでの手順を説明していますが、このOSを使う必要はありません。他のOSでも論理は同じです。
プロセスの論理は他のOSでも同じです。
まあ。
1. UFWのインストール
まずUFWをインストールします。
sudo apt install ufw2.
すべての受信および送信接続をブロック
UFWを無効にしてください。以下のコマンドが
サーバーへの接続を中断する場合があります:
sudo ufw disable以下のコマンドは基本的に試みるすべてのパケットをドロップします
サーバーとの接続を確立または切断します。後で、必要な接続のみ許可します。
ユーザーが必要とするもの:
sudo ufw default deny incoming
sudo ufw default deny outgoing3. 許可
サーバーに接続するには
次にポート22への着信接続を許可します。これはSSH接続の確立に使うポートです。別のポートに変更することをお勧めします:
SSH接続の確立に使うポートです。デフォルトから変更することが推奨されますが:
SSHポートをデフォルト以外に変更する場合:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”発信接続はすでにブロックされていますが、特に明示的にブロックします
すべての発信パケットをブロックします。ポート22が宛先である場合(
将来デフォルトポリシーを変更した場合に備えて)。これにより両方向が
あなたとあなたのユーザーは、ポート上のSSHを使用して他のサーバーに接続できません
ポート22が設定されます。手間がかかるように見えますが、サーバー停止の最も一般的な原因を実際に解決します。このコマンドにより、
一般的な原因を実際に解決します。このコマンドを使用すれば、ユーザーは
あなたのサーバーからSSHブルートフォース攻撃を実行できなくなります。
あなたのサーバー:
sudo ufw deny out 22/tcp comment “Stops SSH brute force”ポート22への着信接続を許可した後、サーバーから切断されずに
ファイアウォールを有効にできます:
sudo ufw enableサーバーから切断された場合でも、Cloudzyのコンソールを使用して
VNCを使用してサーバーに再度アクセスし、ファイアウォールを無効にします。
4.
ユーザーがプロキシ/VPN サービスを取得するためにサーバーに接続することを許可する
サービス
ユーザーはサーバーのプロキシサービスに接続して使用する必要があります。
すべての着信接続をブロックするとこれが不可能になります。
彼らのために。したがって、ユーザーが使用するプロキシ/VPNポートを許可する必要があります。
例えば、ユーザーがポート1194に接続できるようにしたい場合、
は通常 OpenVPN 用に使用されます。これを実行するには、次のコマンドを入力してください。
sudo ufw allow in 1194/tcp comment “OpenVPN port for users”または、OpenVPN を UDP 上で実行している場合:
sudo ufw allow in 1194/udp comment “OpenVPN port for users”VPN および他のプロキシサーバーも同じロジックが適用されます。
ユーザーが接続する必要があるポートを確認し、着信接続を許可する
それへの接続。
これで、ユーザーはサーバーと VPN に接続できるようになりますが、
外部との接続ができなくなります。これは
ホワイトリストの役割: ユーザーは許可されたIP以外には接続できません
ポートを明示的に許可しない限り、アクセスを遮断します。こうすることで、
虐待報告を受けています。
5.
ユーザーがウェブサイトにアクセスして使用することを許可
アプリケーション
今、ブラウジングに使用されるポートへのアウトバウンドトラフィックを許可します
ウェブ上で API 呼び出しをウェブサーバーで実行するために、以下を許可する必要があります
TCP ポート 80 および TCP ポート 443。UDP ポート 443 も許可することで
ユーザーが HTTP3 接続を確立できるようにしましょう:
sudo ufw allow out 80/tcp comment “HTTP connections”
sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”6. 許可
必要に応じて異なるサービス
通常はポート80と443を開くだけで十分ですが、フル
特定のアプリケーションやソフトウェアの機能を使う場合、許可設定が必要な場合があります
ユーザーが他のポートも使用できるようにする。
一般的には、自分自身で調査を行い、のみを許可することをお勧めします
ポートが絶対に必要な場合。各主要アプリケーションは
ネットワーク管理者向けの情報を含むネットワークドキュメンテーション
あなたのような方々のためです。以下のドキュメントで、
アプリケーションの使用状況を確認して、同様にホワイトリストに登録します。いくつか一般的なものを紹介します
例として
WhatsApp
(ビデオ通話または音声通話なし)
sudo ufw allow out 443/tcp comment “WhatsApp”
sudo ufw allow out 5222/tcp comment “WhatsApp”Git:
sudo ufw allow out 9418/tcp comment “Git”一部のサービスなど Discord,
Zoom,
または WhatsApp の音声・ビデオ通話には UDP ポート幅が必要です。
ご自由にお開きください。
寛容モード
ブラックリスト化
ホワイトリストでは、すべてをブロックして特定のポートのみを許可します。一方
ブラックリスト方式では、すべてを許可した上で特定のポートのみをブロックします。
1. UFWのインストール
まずUFWをインストールする必要があります
sudo apt install ufw2. ブロック中
受信接続
UFWを無効にしてください。以下のコマンドが
サーバーへの接続を中断する場合があります:
sudo ufw disable受信接続をすべてブロックすることは理にかなっています。ただし、提供する場合を除きます
特定のサービス。したがって、すべての受信トラフィックを拒否しましょう:
sudo ufw default deny incomingこのとき、すべての送信接続をブロックしているわけではないことに注意してください。
ユーザーが任意のポートに接続できるようになります。これは
ユーザーを完全に信頼できる場合を除き、推奨されません。
3.
サーバーへの接続を許可する
次に、ポート 22 への受信接続を許可します。ポート 22 は
サーバーへの SSH 接続を確立するために使用されます。ただし、
SSH ポートは別のものに変更することをお勧めします:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”SSH ポートをブロックしてブルートフォース攻撃の報告を避けたい場合は、
以下のコマンドを使用できます:
sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”4. BitTorrentをブロック
同じ考え方で、以下に使用されるポートをブロックする必要があります
BitTorrent。ただし、複数のポートがあるため、次のものが必要です
あなたの調査を行い、パブリックトラッカーのIPアドレスとポートをブロックする
BitTorrent に通常使用されるもの。
ご質問がありましたら、お気軽にお問い合わせください 提出中
チケット.