V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhengrt
V2EX  ›  宽带症候群

家宽成功开通 80, 443,建站阻断问题

  •  
  •   zhengrt · 2020-06-19 12:06:20 +08:00 via iPhone · 8899 次点击
    这是一个创建于 1611 天前的主题,其中的信息可能已经有所发展或是发生改变。
    rt,联通家宽 80,443 固定 ip 开通,建立了个人博客,但是老是有人把没有备案的域名解析过来,就很烦,能不能像机房一样,建立域名白名单,不是在白名单里的跳到阻断页面?现在有爱快和 ros 以及 lede.
    请问有没有办法实现?
    46 条回复    2020-07-11 18:35:27 +08:00
    zhengrt
        1
    zhengrt  
    OP
       2020-06-19 12:14:46 +08:00 via iPhone
    成功帮助我解决这个问题的,教你如何获取公网 IP 和 80,443
    vbcity
        2
    vbcity  
       2020-06-19 12:36:18 +08:00
    要阻断, 基本要用 L7 Filter, 分析 HTTP 请求包的 Host 字段,只允许包含你主机域名的数据包通过, 其他的直接跳转到另一个端口
    jy02201949
        3
    jy02201949  
       2020-06-19 12:39:10 +08:00
    开 80 不怕被发通知么
    cxh116
        4
    cxh116  
       2020-06-19 12:41:11 +08:00 via Android
    默认站点,nginx return 444 。你搜
    wd
        5
    wd  
       2020-06-19 12:41:26 +08:00 via iPhone
    你用啥搭的 web ?你搜下 virtualhost 支持,你把不是你域名的都返回 403 就好了
    qanniu
        6
    qanniu  
       2020-06-19 12:41:44 +08:00 via iPhone
    @zhengrt 谁能看懂#1 的汉字是什么意思?
    zhengrt
        7
    zhengrt  
    OP
       2020-06-19 13:04:26 +08:00 via iPhone
    @vbcity 是自动的吗?
    zhengrt
        8
    zhengrt  
    OP
       2020-06-19 13:04:36 +08:00 via iPhone
    @jy02201949 许可的
    zhengrt
        9
    zhengrt  
    OP
       2020-06-19 13:04:44 +08:00 via iPhone
    @wd 好的谢谢
    zhengrt
        10
    zhengrt  
    OP
       2020-06-19 13:05:06 +08:00 via iPhone
    我的意思是基于网络设备阻断,不是 web 系统里阻断
    zhengrt
        11
    zhengrt  
    OP
       2020-06-19 13:05:27 +08:00 via iPhone
    比如在主路由就阻断了
    Meano
        12
    Meano  
       2020-06-19 13:41:55 +08:00
    TCP 的握手总得过吧,sni 识别也在握手之后,一般 iptables 规则是不行的,得有 sni match ( https)或 string match( http)标记链接,有功夫折腾这个还不如回个 444,match 总会造成性能上的损耗,在应用层 down 掉不影响正常链接,链路上的处理如果路由性能不好就会变慢点
    kennylam777
        13
    kennylam777  
       2020-06-19 13:44:36 +08:00
    以你的設備,80 不可能了,443 的 SNI 可以用 RouterOS 解決,tls-host
    https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
    934831065ldc
        14
    934831065ldc  
       2020-06-19 13:56:39 +08:00
    正常情况下使用 nginx 就行了,将不是自己的域名,返回 404 就可以了。 能提供如何获取的家宽 80 、443 端口么
    a3587556
        15
    a3587556  
       2020-06-19 14:17:01 +08:00   ❤️ 1
    如果你的路由器支持 iptables 的话就能在 4 层把不符合条件的 drop
    https://github.com/fifilyu/module-http-whitelist
    samondlee
        16
    samondlee  
       2020-06-19 15:38:09 +08:00
    大佬可否公开呀
    zhengrt
        17
    zhengrt  
    OP
       2020-06-19 16:33:54 +08:00 via iPhone
    @kennylam777 谢谢,
    有没有什么软路由软件可以实现呢?
    zhengrt
        18
    zhengrt  
    OP
       2020-06-19 16:34:37 +08:00 via iPhone
    @a3587556 可以考虑加一个 linux 中转
    zhengrt
        19
    zhengrt  
    OP
       2020-06-19 16:35:39 +08:00 via iPhone
    就是有没有什么软件,可以实现像机房那样的白名单系统呢
    a3587556
        20
    a3587556  
       2020-06-19 16:42:03 +08:00
    @zhengrt openWrt 好像支持 iptables 可以刷个来试试
    263
        21
    263  
       2020-06-19 16:46:33 +08:00
    server {
    listen 80 default_server;
    server_name _;
    return 444;
    }

    server {
    listen 443 default_server;
    server_name _;
    ssl_certificate /etc/nginx/ssl/xxx.com.pem;
    ssl_certificate_key /etc/nginx/ssl/xxx.com.key;
    return 444;
    }
    ericbize
        22
    ericbize  
       2020-06-19 16:47:47 +08:00 via iPhone
    @zhengrt mikrotik 的防火墙有 7 层识别
    zhengrt
        23
    zhengrt  
    OP
       2020-06-19 17:17:29 +08:00 via iPhone
    @a3587556 好的我试试
    exceldream
        24
    exceldream  
       2020-06-19 17:28:48 +08:00 via Android
    大佬如何开通 ? 手动狗头
    caola
        25
    caola  
       2020-06-19 17:51:35 +08:00
    @zhengrt nginx 安装 lua-nginx-module 模块,
    server {
    listen 80;
    server_name _;
    location / {
    content_by_lua_block {
    ngx.exit(ngx.HTTP_CLOSE)
    return
    }
    }
    }
    caola
        26
    caola  
       2020-06-19 18:07:01 +08:00
    443 端口,不绑定 ssl 是无法正常访问的,所以不用特别处理
    fs418082760
        27
    fs418082760  
       2020-06-19 20:33:17 +08:00
    反向代理?
    LGA1150
        28
    LGA1150  
       2020-06-19 21:10:50 +08:00
    iptables HTTP 白名单:
    iptables -N httpacl
    # 放行不带 Host:头的数据
    iptables -A httpacl -m string ! --hex-string "|0d0a|Host:" --algo bm --from 12 -j RETURN
    # 放行百度
    iptables -A httpacl -m string --hex-string "baidu.com|0d0a|" --algo bm --from 17 -j RETURN
    # 屏蔽其他数据
    iptables -A httpacl -p tcp -j REJECT --reject-with tcp-reset

    # 只匹配 80 端口 HTTP GET 或 HEAD 数据包到白名单
    iptables -A INPUT -p tcp --dport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0=0x47455420" -j httpacl
    iptables -A INPUT -p tcp --dport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0=0x48454144" -j httpacl

    其中:
    0d0a == "\r\n"
    47455420 == "GET "
    48454144 == "HEAD"
    zhengrt
        29
    zhengrt  
    OP
       2020-06-19 23:07:01 +08:00 via iPhone
    好的谢谢大家!需要方法的可以私聊我 tg
    shabbyin
        30
    shabbyin  
       2020-06-19 23:38:58 +08:00 via iPhone
    nginx 添加个自己的 servername 非自己 servername 的直接通配 /转 404 应该可以吧
    locoz
        31
    locoz  
       2020-06-20 13:59:35 +08:00 via Android
    🐮🍺,80 、443 都能拿到
    geekvcn
        32
    geekvcn  
       2020-06-20 14:13:11 +08:00
    走关系的吧?家宽备案?
    xinJang
        33
    xinJang  
       2020-06-20 19:57:36 +08:00
    我是来看看怎么开端口的
    zhengrt
        34
    zhengrt  
    OP
       2020-06-20 21:39:54 +08:00
    统一回复,深圳联通可以找我
    flying2010
        35
    flying2010  
       2020-06-21 16:22:41 +08:00
    被查到会断网吧?
    systemcall
        36
    systemcall  
       2020-06-21 17:44:52 +08:00 via Android
    返回 404 不也返回东西了吗?感觉直接丢掉要好些吧,怕请喝茶
    zhengrt
        37
    zhengrt  
    OP
       2020-06-21 22:18:23 +08:00
    @systemcall 有道理
    zhengrt
        38
    zhengrt  
    OP
       2020-06-21 22:19:06 +08:00
    统一回复,大家都知道封端口在 BARS 上,那么进 BARS 之后不就解决了吗?速率也可以随意调整
    huaes
        39
    huaes  
       2020-06-22 09:17:51 +08:00
    @zhengrt 不懂就问 ,怎么进 BARS 解除限制?
    hello365
        40
    hello365  
       2020-06-22 09:59:41 +08:00
    厉害了...BARS 个人能进?
    LockeyQQ
        41
    LockeyQQ  
       2020-06-22 16:49:29 +08:00
    @zhengrt 那怎么进 BARS 是个问题
    yelocat
        42
    yelocat  
       2020-06-22 17:14:54 +08:00
    怎么进 BARS 呢
    summerwindy
        43
    summerwindy  
       2020-06-30 11:49:55 +08:00
    @zhengrt 你指的是 bras ?
    cdkey51
        44
    cdkey51  
       2020-07-03 16:11:25 +08:00 via iPhone
    宽带接入服务器( Broadband Remote Access Server,简称 BRAS )是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户带宽的 IP/ATM 网的数据接入,实现商业楼宇及小区住户的宽带上网。

    宽带接入服务器的推出在很大程度上是由于 ADSL 的大面积推广应用。宽带接入服务器应运而生,它成为宽带非 IP/IP 接入网络向骨干 IP 网络过渡的网络接入设备,解决了宽带用户在业务上、流量上和管理上的汇聚。
    Coioidea
        45
    Coioidea  
       2020-07-05 15:17:42 +08:00
    (这种操作被抓到真就直接进局子了
    Chenhau
        46
    Chenhau  
       2020-07-11 18:35:27 +08:00
    进 BRAS 被抓到就真没了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1116 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 19:00 · PVG 03:00 · LAX 11:00 · JFK 14:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.