V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2138 days ago, the information mentioned may be changed or developed.
rt,联通家宽 80,443 固定 ip 开通,建立了个人博客,但是老是有人把没有备案的域名解析过来,就很烦,能不能像机房一样,建立域名白名单,不是在白名单里的跳到阻断页面?现在有爱快和 ros 以及 lede.
请问有没有办法实现?
请问有没有办法实现?
 |
1
zhengrt OP 成功帮助我解决这个问题的,教你如何获取公网 IP 和 80,443
|
 |
2
vbcity Jun 19, 2020
要阻断, 基本要用 L7 Filter, 分析 HTTP 请求包的 Host 字段,只允许包含你主机域名的数据包通过, 其他的直接跳转到另一个端口
|
 |
3
jy02201949 Jun 19, 2020
开 80 不怕被发通知么
|
 |
4
cxh116 Jun 19, 2020 via Android
默认站点,nginx return 444 。你搜
|
 |
5
wd Jun 19, 2020 via iPhone
你用啥搭的 web ?你搜下 virtualhost 支持,你把不是你域名的都返回 403 就好了
|
|
8
zhengrt OP @jy02201949 许可的
|
|
10
zhengrt OP 我的意思是基于网络设备阻断,不是 web 系统里阻断
|
|
11
zhengrt OP 比如在主路由就阻断了
|
 |
12
Meano Jun 19, 2020
TCP 的握手总得过吧,sni 识别也在握手之后,一般 iptables 规则是不行的,得有 sni match ( https)或 string match( http)标记链接,有功夫折腾这个还不如回个 444,match 总会造成性能上的损耗,在应用层 down 掉不影响正常链接,链路上的处理如果路由性能不好就会变慢点
|
 |
13
kennylam777 Jun 19, 2020
以你的設備,80 不可能了,443 的 SNI 可以用 RouterOS 解決,tls-host
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter |
 |
14
934831065ldc Jun 19, 2020
正常情况下使用 nginx 就行了,将不是自己的域名,返回 404 就可以了。 能提供如何获取的家宽 80 、443 端口么
|
 |
15
a3587556 Jun 19, 2020  1
如果你的路由器支持 iptables 的话就能在 4 层把不符合条件的 drop
https://github.com/fifilyu/module-http-whitelist |
 |
16
samondlee Jun 19, 2020
大佬可否公开呀
|
|
17
zhengrt OP @kennylam777 谢谢,
有没有什么软路由软件可以实现呢? |
|
19
zhengrt OP 就是有没有什么软件,可以实现像机房那样的白名单系统呢
|
 |
21
263 Jun 19, 2020
server {
listen 80 default_server; server_name _; return 444; } server { listen 443 default_server; server_name _; ssl_certificate /etc/nginx/ssl/xxx.com.pem; ssl_certificate_key /etc/nginx/ssl/xxx.com.key; return 444; } |
 |
24
exceldream Jun 19, 2020 via Android
大佬如何开通 ? 手动狗头
|
 |
25
caola Jun 19, 2020
@zhengrt nginx 安装 lua-nginx-module 模块,
server { listen 80; server_name _; location / { content_by_lua_block { ngx.exit(ngx.HTTP_CLOSE) return } } } |
|
26
caola Jun 19, 2020
443 端口,不绑定 ssl 是无法正常访问的,所以不用特别处理
|
 |
27
fs418082760 Jun 19, 2020
反向代理?
|
 |
28
LGA1150 Jun 19, 2020
iptables HTTP 白名单:
iptables -N httpacl # 放行不带 Host:头的数据 iptables -A httpacl -m string ! --hex-string "|0d0a|Host:" --algo bm --from 12 -j RETURN # 放行百度 iptables -A httpacl -m string --hex-string "baidu.com|0d0a|" --algo bm --from 17 -j RETURN # 屏蔽其他数据 iptables -A httpacl -p tcp -j REJECT --reject-with tcp-reset # 只匹配 80 端口 HTTP GET 或 HEAD 数据包到白名单 iptables -A INPUT -p tcp --dport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0=0x47455420" -j httpacl iptables -A INPUT -p tcp --dport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0=0x48454144" -j httpacl 其中: 0d0a == "\r\n" 47455420 == "GET " 48454144 == "HEAD" |
|
29
zhengrt OP 好的谢谢大家!需要方法的可以私聊我 tg
|
 |
30
shabbyin Jun 19, 2020 via iPhone
nginx 添加个自己的 servername 非自己 servername 的直接通配 /转 404 应该可以吧
|
 |
31
locoz Jun 20, 2020 via Android
🐮🍺,80 、443 都能拿到
|
 |
32
geekvcn Jun 20, 2020
走关系的吧?家宽备案?
|
 |
33
xinJang Jun 20, 2020
我是来看看怎么开端口的
|
|
34
zhengrt OP 统一回复,深圳联通可以找我
|
 |
35
flying2010 Jun 21, 2020
被查到会断网吧?
|
 |
36
systemcall Jun 21, 2020 via Android
返回 404 不也返回东西了吗?感觉直接丢掉要好些吧,怕请喝茶
|
|
37
zhengrt OP @systemcall 有道理
|
|
38
zhengrt OP 统一回复,大家都知道封端口在 BARS 上,那么进 BARS 之后不就解决了吗?速率也可以随意调整
|
 |
40
hello365 Jun 22, 2020
厉害了...BARS 个人能进?
|
 |
42
yelocat Jun 22, 2020
怎么进 BARS 呢
|
 |
43
summerwindy Jun 30, 2020
@zhengrt 你指的是 bras ?
|
 |
44
cdkey51 Jul 3, 2020 via iPhone
宽带接入服务器( Broadband Remote Access Server,简称 BRAS )是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户带宽的 IP/ATM 网的数据接入,实现商业楼宇及小区住户的宽带上网。
宽带接入服务器的推出在很大程度上是由于 ADSL 的大面积推广应用。宽带接入服务器应运而生,它成为宽带非 IP/IP 接入网络向骨干 IP 网络过渡的网络接入设备,解决了宽带用户在业务上、流量上和管理上的汇聚。 |
 |
45
Coioidea Jul 5, 2020
(这种操作被抓到真就直接进局子了
|
 |
46
Chenhau Jul 11, 2020
进 BRAS 被抓到就真没了
|
Select Language