【教程】【防护】教你添加回源白名单，只允许cdn访问小鸡

ukmg · 发表于 2019-8-10 15:07:00

本帖最后由 ukmg 于 2019-8-13 22:24 编辑

开始

前不久楼主发过一个帖子https://www.52.ht/thread-546327-1-1.html
讲怎么防止小鸡源ip被扫到。

然后xuhao0080大佬提供了一个更好的办法

套了cdn之后，只要设置源站只允许cdn的ip回源就好了。。。

这里做下总结。

---------------------
以下是教程。
---------------------
首先确定80还有443端口是关闭状态

A.Centos:

1. yum install firewalld(如果有就不用装了)

2. cd /etc/firewalld/zones/

3. vi cfrules.xml

粘贴以下代码

[ol]

[/ol]复制代码

上面的ip列表是cf的回源ip，其他cdn的换成自己用的cdn的回源ip即可

4. firewall-cmd --reload
如显示success则成功。

B.其他系统:

使用ufw

例示命令
[ol]

sudo ufw allow proto tcp from 192.168.0.0/24 to any port 80

sudo ufw allow proto tcp from 192.168.0.0/24 to any port 443[/ol]复制代码

改成cdn的ip段慢慢添加吧（楼主还不会批量添加。。。）

使用iptables

例示命令
[ol]

iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT

iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT[/ol]复制代码

改成cdn的ip段慢慢添加吧（楼主还不会批量添加。。。）

service iptables save
service iptables restart

----------------------

附上nodecache 也就是楼主签名的cdn的回源列表,使用nodecache就添加这个

[ol]

23.225.74.0/24

23.225.94.0/24

172.247.246.0/24[/ol]复制代码

---------------------
补充
---------------------

1.用类似的方法也可以给自己小鸡的shh端口添加白名单（谨慎留好备用入口再添加）。。。
添加后小鸡就基本全部对外封闭了，安全性很高。

2.其他cdn也可以找客服要回源IP，同理添加。

3.CloudFlare用第三方的面板，CNAME接入可以防止被打到回源。。。

以上

ansheng · 发表于 2019-8-10 16:57:05

ukmg 发表于 2019-8-10 16:20

网站迁到杜甫，前端用gia小鸡反代，三大运营商哪条线路不行，再接cdn.
预算足就不要纠结，一起用 ...
怎么用GIA小鸡反代呀？是不是数据库放到杜甫，然后程序放到GIA

coobar · 发表于 2019-8-10 16:20:00

cf回源，晚上炸到你想不到
油管200，敢用？

ukmg · 发表于 2019-8-10 15:10:20

coobar 发表于 2019-8-10 15:10

cf回源，晚上炸到你想不到
油管200，敢用？

这里讲的是网站套了cdn。怎么增加安全性。
就是设置白名单。

cf是cdn的例子。

还有cf之所以慢不就是因为滥用多嘛

coobar · 发表于 2019-8-10 15:15:45

ukmg 发表于 2019-8-10 15:15

这里讲的是网站套了cdn。怎么增加安全性。
就是设置白名单。
也是，现在网站都不想用CF的CND了。晚上慢的一塌糊涂啊~

ansheng · 发表于 2019-8-10 15:10:00

咨询下大佬，如果一个VPS上面有多个WEB站点，每个WEB站点都开启了CDN，这时应该怎么配置呢

ansheng · 发表于 2019-8-10 15:21:47

coobar 发表于 2019-8-10 15:21

也是，现在网站都不想用CF的CND了。晚上慢的一塌糊涂啊~
所以有什么其他CDN推荐呢？

，不要太贵的

ukmg · 发表于 2019-8-10 15:15:00

ansheng 发表于 2019-8-10 15:21

咨询下大佬，如果一个VPS上面有多个WEB站点，每个WEB站点都开启了CDN，这时应该怎么配置呢 ...
上面添加白名单的方法是直接对白名单ip放行80还有443端口。和网站数量没有关系的。所有网站都是走80 443

配置了多个cdn，只要将所有cdn回源ip都添加进去就行了。。我自己就放行了cf还有nodecache两个cdn的IP。。

ansheng · 发表于 2019-8-10 15:21:50

ukmg 发表于 2019-8-10 15:28

上面添加白名单的方法是直接对白名单ip放行80还有443端口。和网站数量没有关系的。所有网站都是走80 443
...
大佬nodecache的CDN用的如何哇，1T流量多久有效期额

ezezz · 发表于 2019-8-10 15:22:53

弄个小鸡自己搭建个cdn 爽歪歪

		自动登录	找回密码
密码			立即注册