ลดการร้องเรียนการละเมิดเมื่อใช้งาน VPN

การรัน VPN หรือบริการ proxy บนเซิร์ฟเวอร์อาจมีความเสี่ยงหลายประการ โดย
เจ้าของ IP และผู้ใช้งานของคุณต้องรับผิดชอบต่อการใช้งานที่ผิดวัตถุประสงค์หรือผิดกฎหมายใดๆ
กิจกรรมที่ดำเนินการผ่านบริการของคุณ เพื่อป้องกันตัวเองจากเรื่องนี้
ปัญหา คุณต้องดำเนินการป้องกันอย่างรอบคอบเพื่อปกป้อง
声誉

โหมดเข้มงวด
การเพิ่มเข้าสู่รายชื่อขาว

วิธีหนึ่งในการป้องกันการใช้เซิร์ฟเวอร์ของคุณอย่างไม่ถูกต้องคือการอนุญาตเฉพาะ
กิจกรรมบางอย่าง วิธีการนี้เรียกว่า whitelisting ไม่
ป้องกันการใช้งานในทางที่ผิดได้อย่างสมบูรณ์ แต่ผู้ใช้ของคุณยังสามารถโจมตีผู้อื่นและสร้างผลเสียได้
ในการระงับเซิร์ฟเวอร์ของคุณ อย่างไรก็ตาม มันสามารถทำให้กระบวนการแจ้งเรื่องมีปัญหาเป็น
ยากขึ้นมากเยอะ และมันจะทำให้ผู้ใช้งานที่ไม่สุจริตออกไปจากของคุณ
บริการ (และ น่าเสียดายที่ว่า ผู้ใช้ที่ถูกต้องตามกฎหมายบางคนด้วย)

สิ่งที่เราเสนอคือการปิดกั้นการเชื่อมต่อที่เข้ามาและออกไปทั้งหมด
แพ็กเก็ตจากเซิร์ฟเวอร์ของคุณ ยกเว้นแพ็กเก็ตที่จำเป็นอย่างยิ่ง
นี่คือวิธีที่คุณสามารถทำได้

สิ่งเดียวที่คุณต้องพิจารณาก่อนทำตามคำแนะนำคือ
ตรวจสอบว่าคุณไม่มีไฟร์วอลล์อื่นใดเปิดใช้งานบนเซิร์ฟเวอร์ของคุณ
แม้ว่าคำแนะนำนี้ครอบคลุมกระบวนการบน Ubuntu คุณไม่จำเป็นต้องมี
ระบบปฏิบัติการดังกล่าว กระบวนการจะเหมือนกันสำหรับระบบปฏิบัติการอื่น
ดี

1. การติดตั้ง UFW

ขั้นแรก คุณต้องติดตั้ง UFW

sudo apt install ufw

2.
ปิดกั้นการเชื่อมต่อขาเข้าและขาออกทั้งหมด

ตรวจสอบให้แน่ใจว่าคุณปิดใช้งาน UFW เนื่องจากคำสั่งต่อไปนี้อาจ
ขัดจังหวะการเชื่อมต่อของคุณไปยังเซิร์ฟเวอร์

sudo ufw disable

คำสั่งด้านล่างจะปฏิเสธแพ็กเก็ตทุกแพ็กเก็ตที่พยายาม
เข้ามาหรือออกไปจากเซิร์ฟเวอร์ของคุณ ต่อมาเราจะอนุญาตเฉพาะการเชื่อมต่อที่
ผู้ใช้ของเราต้องการเท่านั้น

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. อนุญาต
ให้คุณเชื่อมต่อไปยังเซิร์ฟเวอร์ของคุณ

ตอนนี้เราจะอนุญาตการเชื่อมต่อขาเข้าไปยังพอร์ต 22 ซึ่งเป็นพอร์ต
ที่ใช้สำหรับการสร้าง SSH การเชื่อมต่อ แม้ว่าจะเป็นความคิดที่ดีเสมอ
ที่จะเปลี่ยนพอร์ต SSH ของคุณเป็นอย่างอื่น

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

แม้ว่าการเชื่อมต่อขาออกจะถูกปิดกั้นแล้ว เราจะปิดกั้นโดยเฉพาะ
แพ็กเก็ตขาออกทั้งหมดที่มีพอร์ต 22 เป็นปลายทาง (ในกรณีที่
คุณเปลี่ยนนโยบายเริ่มต้นในอนาคต) สิ่งนี้จะทำให้ทั้ง
คุณและผู้ใช้ของคุณไม่สามารถเชื่อมต่อไปยังเซิร์ฟเวอร์อื่นโดยใช้ SSH บนพอร์ต
22 แม้ว่าจะฟังดูยุ่งยาก แต่ก็จะแก้ไขปัญหาที่เกิดขึ้นบ่อยที่สุดเรื่องหนึ่ง
ที่ส่งผลให้เซิร์ฟเวอร์ของคุณถูกระงับ ด้วยการใช้คำสั่งนี้
ไม่มีผู้ใช้รายใดสามารถทำการโจมตี SSH brute force จากเซิร์ฟเวอร์ของคุณได้
เซิร์ฟเวอร์ของคุณ:

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

หลังจากอนุญาตการเชื่อมต่อขาเข้าไปยังพอร์ต 22 คุณสามารถเปิดใช้งาน
firewall โดยไม่ขาดการเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ:

sudo ufw enable

หากการเชื่อมต่อกับเซิร์ฟเวอร์ของคุณขาดสิ้นไปในบางครั้ง คุณสามารถใช้
ใช้ VNC เพื่อเข้าถึงเซิร์ฟเวอร์ของคุณอีกครั้งและปิดไฟร์วอลล์

4.
อนุญาตให้ผู้ใช้ของคุณเชื่อมต่อกับเซิร์ฟเวอร์ของคุณเพื่อใช้พร็อกซี่/VPN
บริการ

เห็นได้ชัดว่าผู้ใช้ของคุณต้องเชื่อมต่อและใช้งาน proxy ของเซิร์ฟเวอร์ของคุณ
services. การปฏิเสธการเชื่อมต่อขาเข้าทั้งหมดทำให้สิ่งนี้เป็นไปไม่ได้สำหรับ
ดังนั้นเราต้องอนุญาตให้ใช้พอร์ต proxy/VPN ที่ผู้ใช้ต้องการสำหรับ
ตัวอย่างเช่น สมมติว่าเราต้องการให้ผู้ใช้สามารถเชื่อมต่อไปยังพอร์ต 1194 ได้
มักใช้สำหรับ OpenVPN โดยพิมพ์คำสั่งต่อไปนี้:

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

หรือ หากคุณใช้ OpenVPN บน UDP:

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

logic นี้ใช้ได้เหมือนกันกับ VPN และ proxy servers อื่นๆ ด้วย เพียงแต่
ค้นหาว่าผู้ใช้ของคุณต้องเชื่อมต่อไปยังพอร์ตใด แล้วอนุญาตการเข้ามาของพอร์ตนั้น
การเชื่อมต่อไปยังมัน

ตอนนี้ผู้ใช้ของคุณสามารถเชื่อมต่อไปยังเซิร์ฟเวอร์ของคุณและ VPN ได้แล้ว แต่
จะไม่สามารถเชื่อมต่อไปยังภายนอกได้ นี่คือ
จุดประสงค์ของการเพิ่มลงในรายการที่อนุญาต: ผู้ใช้จะไม่สามารถเชื่อมต่อกับ
พอร์ตถ้าเราไม่อนุญาต ด้วยวิธีนี้ช่วยลดโอกาส
รับรายงานการละเมิด

5.
ให้ผู้ใช้ของคุณสามารถเข้าชมเว็บไซต์และใช้งาน
แอปพลิเคชัน

ตอนนี้เราจะอนุญาตให้ส่งข้อมูลออกไปยังพอร์ตที่ใช้สำหรับการท่องเว็บ
เว็บและทำการเรียก API บนเว็บเซิร์ฟเวอร์ สำหรับการดำเนินการนี้ คุณควร
พอร์ต 80 และพอร์ต 443 ของ TCP ด้วยการอนุญาตพอร์ต 443 ของ UDP เพิ่มเติมจะ
ให้ผู้ใช้ของคุณสามารถสร้างการเชื่อมต่อ HTTP3:

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. อนุญาต
บริการต่างๆ ตามความต้องการของคุณ

โดยปกติ การเปิดพอร์ต 80 และ 443 ก็เพียงพอ แต่เพื่อให้ได้ประโยชน์สูงสุด
การทำงานของแอปพลิเคชันหรือซอฟต์แวร์บางตัว คุณอาจต้องให้สิทธิ์
ผู้ใช้ของคุณให้ใช้พอร์ตอื่นๆ ได้เช่นกัน

โดยทั่วไปแนะนำให้คุณทำวิจัยด้วยตนเองและอนุญาตให้
พอร์ตเท่านั้นหากจำเป็นอย่างแน่นอน แอปพลิเคชันหลักแต่ละตัวมี
เอกสารเครือข่ายที่มีข้อมูลสำหรับผู้ดูแลระบบเครือข่าย
เหมือนคุณ ในเอกสารเหล่านี้ คุณจะพบพอร์ตที่
แอปพลิเคชันที่ใช้งานแล้วเพิ่มไปในรายการอนุญาต เราจะแสดงตัวอย่างยอดนิยมบางส่วน
เป็นตัวอย่าง

WhatsApp
(ไม่มีวิดีโอหรือการโทรเสียง):

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

Git:

sudo ufw allow out 9418/tcp comment “Git”

บริการบางอย่าง เช่น Discord,
Zoom,
หรือการโทรและวิดีโอผ่าน WhatsApp ต้องใช้พอร์ต UDP จำนวนมาก คุณ
คุณสามารถเปิดโฟลเดอร์เหล่านี้ได้ตามที่คุณต้องการ

โหมดเข้าใจง่าย
การปฏิเสธรายชื่อ

ในการ whitelisting คุณจะปิดกั้นทุกอย่าง และอนุญาตเฉพาะพอร์ตที่ระบุ ใน
การแบล็กลิสต์ช่วยให้คุณอนุญาตทราฟิกทั้งหมดแล้วบล็อกพอร์ตที่เฉพาะเจาะจง

1. การติดตั้ง UFW

ก่อนอื่น คุณต้องติดตั้ง UFW

sudo apt install ufw

2. บล็อก
การเชื่อมต่อขาเข้า

ตรวจสอบให้แน่ใจว่าคุณปิดใช้งาน UFW เนื่องจากคำสั่งต่อไปนี้อาจ
ขัดจังหวะการเชื่อมต่อของคุณไปยังเซิร์ฟเวอร์

sudo ufw disable

มีความสมควรที่จะปิดกั้นการเชื่อมต่อขาเข้าทั้งหมด เว้นแต่เราจำเป็นต้องให้บริการ
บริการเฉพาะเจาะจง ดังนั้นเรามาปฏิเสธการรับเข้ามาทั้งหมดกันดีกว่า

sudo ufw default deny incoming

โปรดทราบว่าในครั้งนี้คุณไม่ได้บล็อกการเชื่อมต่อขาออกทั้งหมด
ให้ผู้ใช้ของคุณเชื่อมต่อไปยังพอร์ตใดก็ได้ที่พวกเขาต้องการ
ไม่ควรทำเลยนอกจากว่าคุณเชื่อใจผู้ใช้ของคุณอย่างสูงสุด

3.
เชื่อมต่อกับเซิร์ฟเวอร์ของคุณได้อย่างง่ายดาย

ตอนนี้เราจะอนุญาตให้การเชื่อมต่อขาเข้าไปยังพอร์ต 22 ซึ่งเป็นพอร์ต
ใช้สำหรับสร้างการเชื่อมต่อ SSH ไปยังเซิร์ฟเวอร์ของคุณ แม้ว่า
เป็นความคิดที่ดีเสมอที่จะเปลี่ยน SSH port ของคุณเป็นอย่างอื่น:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

หากคุณต้องการบล็อกพอร์ต SSH เพื่อหลีกเลี่ยงรายงานการละเมิด brute force ของ SSH
คุณสามารถใช้คำสั่งต่อไปนี้ได้:

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. ปิดกั้น BitTorrent

ตามหลักการเดียวกัน คุณต้องบล็อกพอร์ตที่ใช้สำหรับ
BitTorrent อย่างไรก็ตาม เนื่องจากมีพอร์ตหลายตัวสำหรับสิ่งนี้ คุณจึงต้อง
ค้นคว้าและบล็อก IP ของ public tracker รวมถึงพอร์ต
ที่ใช้โดยทั่วไปสำหรับ BitTorrent

หากคุณมีคำถามใด ๆ อย่าลังเลที่จะติดต่อเราได้ที่ ส่งข้อมูล
ตั๋ว.