在服务器上运行 VPN 或代理服务可能存在多种风险。作为
IP 的所有者,您的用户应对任何滥用或非法行为负责
通过您的服务进行的活动。为了保护自己免受这种情况的影响
问题,您需要采取积极措施来保护您的
名声。
严格模式:
白名单
确保您的服务器不被滥用的一种方法是只允许
某些活动。这种称为白名单的方法并不
充分防止滥用;您的用户仍然可以攻击其他人并导致
在您的服务器暂停时。然而,它可以使滥用过程成为
更加困难,并且很可能将施虐者从您身边赶走
服务(不幸的是,还有一些合法用户)。
我们在这里建议的是放弃所有传入和传出
来自服务器的数据包,除了绝对需要的数据包。
以下是您可以执行此操作的方法。
在遵循指南之前您需要考虑的唯一一件事是
您不应在服务器上启用任何其他防火墙。
尽管本指南涵盖了 Ubuntu 上的过程,但您不需要
它作为您的操作系统。该过程的逻辑对于其他操作系统来说是相同的
出色地。
1. 安装UFW
首先,您需要安装UFW。
sudo apt install ufw2.
阻止所有传入和传出连接
确保禁用 UFW,因为以下命令可能会
中断与服务器的连接:
sudo ufw disable下面的命令基本上会丢弃所有试图发送的数据包
进入或退出您的服务器。稍后,我们将只允许以下连接
我们的用户需要:
sudo ufw default deny incoming
sudo ufw default deny outgoing3. 允许
自己连接到您的服务器
现在我们将允许传入连接到端口 22,这是端口
用于建立 SSH 连接。虽然这总是一个好主意
将 SSH 端口更改为其他端口:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”虽然传出连接已被阻止,但我们将特别
阻止所有以端口 22 作为目的地的传出数据包(在
如果您将来更改默认策略)。这将使双方
您和您的用户无法在端口上使用 SSH 连接到其他服务器
22. 虽然这听起来很麻烦,但它实际上可以解决最棘手的问题之一
导致服务器暂停的常见投诉。通过使用这个
命令,任何用户都无法执行 SSH 暴力攻击
你的服务器:
sudo ufw deny out 22/tcp comment “Stops SSH brute force”允许传入连接到端口 22 后,您可以启用
防火墙无需与服务器断开连接:
sudo ufw enable如果万一您与服务器断开连接,您可以使用
VNC 再次访问您的服务器并禁用防火墙。
4.
允许您的用户连接到您的服务器以获取代理/VPN
服务
显然,您的用户需要连接并使用服务器的代理
服务。丢弃所有传入连接使得这不可能
他们。因此,我们需要允许用户使用的代理/VPN端口
例如,假设我们希望允许用户连接到端口 1194,该端口
通常用于 OpenVPN。为此,请键入以下命令:
sudo ufw allow in 1194/tcp comment “OpenVPN port for users”或者,如果您通过 UDP 运行 OpenVPN:
sudo ufw allow in 1194/udp comment “OpenVPN port for users”其他 VPN 和代理服务器的逻辑也是相同的,只是
找出您的用户需要连接到哪个端口并允许传入
与它的联系。
现在,您的用户可以连接到您的服务器和 VPN,但他们
将无法与外界建立任何联系。这是
白名单的确切目的:用户将无法连接到任何
除非我们允许它们。这样做可以最大限度地减少
获取虐待报告。
5.
允许您的用户访问网站并使用
应用
现在我们将允许传出流量到用于浏览的端口
Web,并在 Web 服务器上进行 API 调用。为此,您应该允许
TCP 端口 80 和 TCP 端口 443。同时允许 UDP 端口 443 将
使您的用户能够建立 HTTP3 连接:
sudo ufw allow out 80/tcp comment “HTTP connections”
sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”6. 允许
根据需要提供不同的服务
通常,打开端口 80 和 443 就足够了,但要获得完整的端口
某些应用程序或软件的功能,您可能需要允许
您的用户也可以使用其他端口。
通常建议您进行自己的研究,并且只允许
端口(如果绝对需要)。每个主要应用程序都有一个
包含网络管理员信息的网络文档
像你一样。在这些文档中,您可以找到
应用程序也使用它们并将它们列入白名单。我们将列出一些热门的
为例。
WhatsApp
(无视频或语音通话):
sudo ufw allow out 443/tcp comment “WhatsApp”
sudo ufw allow out 5222/tcp comment “WhatsApp”git:
sudo ufw allow out 9418/tcp comment “Git”有些服务如 不和谐,
飞涨,
或 WhatsApp 语音和视频通话需要广泛的 UDP 端口,您
您可以自行决定打开这些内容。
宽松模式:
列入黑名单
在白名单中,您可以阻止所有内容并允许特定端口。在
列入黑名单,您允许一切并阻止特定端口。
1. 安装UFW
首先需要安装UFW
sudo apt install ufw2. 阻止
传入连接
确保禁用 UFW,因为以下命令可能会
中断与服务器的连接:
sudo ufw disable除非我们提供服务,否则阻止所有传入连接是有意义的
具体服务。因此,让我们拒绝所有传入流量:
sudo ufw default deny incoming请注意,这次您不会阻止所有传出连接。
这允许您的用户连接到他们想要的任何端口。这不是
除非您绝对信任您的用户,否则建议这样做。
3.
允许您自己连接到您的服务器
现在我们将允许传入连接到端口 22,这是端口
用于建立到您的服务器的 SSH 连接。虽然它是
将 SSH 端口更改为其他端口总是一个好主意:
sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”如果您想阻止 SSH 端口以避免 SSH 暴力滥用报告,
您可以使用以下命令:
sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”4. 阻止 BitTorrent
使用相同的逻辑,您需要阻止用于
比特流。但是,由于有多个端口,因此您需要
进行研究并阻止公共跟踪器 IP 和端口
通常用于 BitTorrent。
如果您有任何疑问,请随时通过以下方式联系我们 提交一个
票.