ลดการร้องเรียนการละเมิดเมื่อใช้บริการ VPN

การเรียกใช้บริการ VPN หรือพร็อกซีบนเซิร์ฟเวอร์อาจมีความเสี่ยงหลายประการ เช่น
เจ้าของ IP ผู้ใช้ของคุณต้องรับผิดชอบต่อการละเมิดหรือผิดกฎหมาย
กิจกรรมที่ดำเนินการผ่านบริการของคุณ เพื่อป้องกันตัวเองจากสิ่งนี้
คุณจะต้องใช้มาตรการเชิงรุกเพื่อปกป้องคุณ
ชื่อเสียง.

โหมดเข้มงวด:
ไวท์ลิสต์

วิธีหนึ่งที่จะแน่ใจได้ว่าเซิร์ฟเวอร์ของคุณไม่ถูกละเมิดก็คือการอนุญาตเท่านั้น
กิจกรรมบางอย่าง วิธีการนี้เรียกว่าไวท์ลิสต์ไม่ได้เป็นเช่นนั้น
ป้องกันการละเมิดอย่างเต็มที่ ผู้ใช้ของคุณยังคงสามารถโจมตีผู้อื่นและผลลัพธ์ได้
ในการระงับเซิร์ฟเวอร์ของคุณ อย่างไรก็ตาม มันสามารถทำให้กระบวนการละเมิดก
ยากกว่ามาก และมีแนวโน้มที่จะขับไล่ผู้ละเมิดออกไปจากคุณ
บริการต่างๆ (และน่าเสียดายที่มีผู้ใช้ที่ถูกกฎหมายบางรายด้วยเช่นกัน)

สิ่งที่เรากำลังเสนอที่นี่คือการตัดขาเข้าและขาออกทั้งหมด
แพ็กเก็ตจากเซิร์ฟเวอร์ของคุณ ยกเว้นแพ็กเก็ตที่จำเป็นอย่างยิ่ง
นี่คือวิธีที่คุณสามารถทำได้

สิ่งเดียวที่คุณต้องพิจารณาก่อนทำตามคำแนะนำคือ
ว่าคุณไม่ควรเปิดใช้งานไฟร์วอลล์อื่นใดบนเซิร์ฟเวอร์ของคุณ
แม้ว่าคู่มือนี้จะครอบคลุมกระบวนการบน Ubuntu แต่คุณไม่จำเป็นต้องมี
มันเป็นระบบปฏิบัติการของคุณ ตรรกะของกระบวนการจะเหมือนกันสำหรับระบบปฏิบัติการอื่น ๆ
ดี.

1. กำลังติดตั้ง UFW

ก่อนอื่นคุณต้องติดตั้ง UFW

sudo apt install ufw

2.
การปิดกั้นการเชื่อมต่อขาเข้าและขาออกทั้งหมด

ตรวจสอบให้แน่ใจว่าคุณปิดการใช้งาน UFW เนื่องจากคำสั่งต่อไปนี้อาจ
ขัดจังหวะการเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ:

sudo ufw disable

คำสั่งด้านล่างนี้จะดรอปทุกแพ็กเก็ตที่พยายามจะดรอป
เข้าหรือออกจากเซิร์ฟเวอร์ของคุณ ในภายหลังเราจะอนุญาตเฉพาะการเชื่อมต่อนั้นเท่านั้น
ผู้ใช้ของเราต้องการ:

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. อนุญาต
ตัวคุณเองเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ

ตอนนี้เราจะอนุญาตการเชื่อมต่อขาเข้ากับพอร์ต 22 ซึ่งเป็นพอร์ต
ใช้สำหรับสร้างการเชื่อมต่อ SSH แม้ว่าจะเป็นความคิดที่ดีเสมอไป
เพื่อเปลี่ยนพอร์ต SSH ของคุณเป็นอย่างอื่น:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

แม้ว่าการเชื่อมต่อขาออกจะถูกบล็อกอยู่แล้ว แต่เราจะทำเป็นพิเศษ
บล็อกแพ็กเก็ตขาออกทั้งหมดที่มีพอร์ต 22 เป็นปลายทาง (in
ในกรณีที่คุณเปลี่ยนนโยบายเริ่มต้นในอนาคต) ซึ่งจะทำให้ทั้งสองอย่าง
คุณและผู้ใช้ของคุณไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์อื่นโดยใช้ SSH บนพอร์ตได้
22. แม้ว่าจะฟังดูลำบาก แต่จริงๆ แล้วจะช่วยแก้ปัญหาได้มากที่สุดอย่างหนึ่ง
การร้องเรียนทั่วไปที่ส่งผลให้เซิร์ฟเวอร์ของคุณถูกระงับ โดยใช้สิ่งนี้
คำสั่งนี้จะไม่มีผู้ใช้คนใดสามารถโจมตี SSH bruteforce ได้
เซิร์ฟเวอร์ของคุณ:

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

หลังจากอนุญาตการเชื่อมต่อขาเข้ากับพอร์ต 22 แล้ว คุณสามารถเปิดใช้งานได้
ไฟร์วอลล์โดยไม่ถูกตัดการเชื่อมต่อจากเซิร์ฟเวอร์ของคุณ:

sudo ufw enable

หากคุณถูกตัดการเชื่อมต่อจากเซิร์ฟเวอร์โดยบังเอิญ คุณสามารถใช้ได้
VNC เพื่อเข้าถึงเซิร์ฟเวอร์ของคุณอีกครั้งและปิดการใช้งานไฟร์วอลล์ของคุณ

4.
อนุญาตให้ผู้ใช้เชื่อมต่อกับเซิร์ฟเวอร์ของคุณเพื่อรับพร็อกซี/VPN
บริการ

เห็นได้ชัดว่าผู้ใช้ของคุณจำเป็นต้องเชื่อมต่อและใช้พร็อกซีของเซิร์ฟเวอร์ของคุณ
บริการ การยกเลิกการเชื่อมต่อขาเข้าทั้งหมดทำให้เป็นไปไม่ได้
พวกเขา. ดังนั้นเราจึงจำเป็นต้องอนุญาตพอร์ตพร็อกซี/VPN ที่ผู้ใช้ใช้
เช่น สมมติว่าเราต้องการอนุญาตให้ผู้ใช้เชื่อมต่อกับพอร์ต 1194 ซึ่ง
มักจะใช้สำหรับ OpenVPN โดยพิมพ์คำสั่งต่อไปนี้:

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

หรือหากคุณใช้งาน OpenVPN ผ่าน UDP:

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

ตรรกะจะเหมือนกันสำหรับ VPN และพร็อกซีเซิร์ฟเวอร์อื่นๆ เช่นกัน
find out which port your users need to connect to and allow incoming
การเชื่อมต่อกับมัน

ตอนนี้ผู้ใช้ของคุณสามารถเชื่อมต่อกับเซิร์ฟเวอร์ของคุณและ VPN ได้ แต่ทำได้
จะไม่สามารถเชื่อมต่อกับโลกภายนอกได้ นี่คือ
วัตถุประสงค์ที่แท้จริงของการไวท์ลิสต์: ผู้ใช้จะไม่สามารถเชื่อมต่อกับสิ่งใดๆ ได้
พอร์ตเว้นแต่เราจะอนุญาต การทำเช่นนี้จะช่วยลดโอกาสที่จะเกิด
รับรายงานการละเมิด

5.
อนุญาตให้ผู้ใช้ของคุณเยี่ยมชมเว็บไซต์และใช้งาน
การใช้งาน

ตอนนี้เราจะอนุญาตการรับส่งข้อมูลขาออกไปยังพอร์ตที่ใช้ในการเรียกดู
เว็บและทำการเรียก API บนเว็บเซิร์ฟเวอร์ หากต้องการทำเช่นนั้นคุณควรอนุญาต
พอร์ต TCP 80 และพอร์ต TCP 443 การอนุญาตพอร์ต UDP 443 เช่นกัน
อนุญาตให้ผู้ใช้ของคุณทำการเชื่อมต่อ HTTP3:

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. อนุญาต
บริการต่าง ๆ ตามความต้องการ

โดยปกติแล้วการเปิดพอร์ต 80 และ 443 ก็เพียงพอแล้ว แต่ต้องรับให้เต็ม
การทำงานของแอปพลิเคชันหรือซอฟต์แวร์บางตัว คุณอาจต้องอนุญาต
ผู้ใช้ของคุณเพื่อใช้พอร์ตอื่นเช่นกัน

โดยทั่วไป คุณจะได้รับคำแนะนำให้ค้นคว้าข้อมูลด้วยตนเองและอนุญาตเท่านั้น
พอร์ตต่างๆ หากจำเป็นจริงๆ แต่ละแอปพลิเคชันหลักมี
เอกสารประกอบเครือข่ายพร้อมข้อมูลสำหรับผู้ดูแลระบบเครือข่าย
เหมือนคุณ ในเอกสารเหล่านี้ คุณจะพบพอร์ตต่างๆ ที่
แอปพลิเคชันใช้และอนุญาตพิเศษเช่นกัน เราจะแสดงรายการยอดนิยมบางส่วน
อันเป็นตัวอย่าง

วอทส์แอพพ์
(ไม่มีการโทรวิดีโอหรือเสียง):

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

คอมไพล์:

sudo ufw allow out 9418/tcp comment “Git”

บริการบางอย่างเช่น ความไม่ลงรอยกัน,
ซูม,
หรือการโทรด้วยเสียงและวิดีโอคอลของ WhatsApp ต้องใช้พอร์ต UDP ที่หลากหลาย
อาจเปิดสิ่งเหล่านี้ได้ตามดุลยพินิจของคุณเอง

โหมดผ่อนปรน:
การขึ้นบัญชีดำ

ในการอนุญาตพิเศษ คุณจะบล็อกทุกอย่างและอนุญาตพอร์ตเฉพาะ ใน
การขึ้นบัญชีดำคุณอนุญาตทุกอย่างและบล็อกพอร์ตเฉพาะ

1. กำลังติดตั้ง UFW

ก่อนอื่นคุณต้องติดตั้ง UFW

sudo apt install ufw

2. การปิดกั้น
การเชื่อมต่อขาเข้า

ตรวจสอบให้แน่ใจว่าคุณปิดการใช้งาน UFW เนื่องจากคำสั่งต่อไปนี้อาจ
ขัดจังหวะการเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ:

sudo ufw disable

เป็นการสมเหตุสมผลที่จะบล็อกการเชื่อมต่อขาเข้าทั้งหมด เว้นแต่เราจะให้บริการ
บริการเฉพาะ ดังนั้นขอปฏิเสธการรับส่งข้อมูลขาเข้าทั้งหมด:

sudo ufw default deny incoming

โปรดทราบว่าคราวนี้คุณไม่ได้บล็อกการเชื่อมต่อขาออกทั้งหมด
สิ่งนี้ทำให้ผู้ใช้สามารถเชื่อมต่อกับพอร์ตใดก็ได้ที่พวกเขาต้องการ นี่ไม่ใช่
แนะนำให้เลือกเว้นแต่คุณจะเชื่อถือผู้ใช้ของคุณอย่างแน่นอน

3.
อนุญาตให้ตัวเองเชื่อมต่อกับเซิร์ฟเวอร์ของคุณ

ตอนนี้เราจะอนุญาตการเชื่อมต่อขาเข้าไปยังพอร์ต 22 ซึ่งก็คือพอร์ต
ใช้สำหรับสร้างการเชื่อมต่อ SSH ไปยังเซิร์ฟเวอร์ของคุณ แม้ว่ามันจะเป็น
เป็นความคิดที่ดีเสมอที่จะเปลี่ยนพอร์ต SSH ของคุณเป็นอย่างอื่น:

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

หากคุณต้องการบล็อกพอร์ต SSH เพื่อหลีกเลี่ยงรายงานการละเมิด SSH แบบเดรัจฉาน
คุณสามารถใช้คำสั่งต่อไปนี้:

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. บล็อก BitTorrent

เมื่อใช้ตรรกะเดียวกัน คุณจะต้องบล็อกพอร์ตที่ใช้
บิตทอร์เรนต์ อย่างไรก็ตาม เนื่องจากมีหลายพอร์ตสำหรับสิ่งนี้ คุณจึงจำเป็นต้องมี
เพื่อทำการวิจัยและบล็อก IP ตัวติดตามสาธารณะตลอดจนพอร์ต
ที่ปกติใช้สำหรับ BitTorrent

หากคุณมีคำถามใด ๆ อย่าลังเลที่จะติดต่อเราทาง ส่ง
ตั๋ว.