这是一个创建于 1617 天前的主题,其中的信息可能已经有所发展或是发生改变。
rt,联通家宽 80,443 固定 ip 开通,建立了个人博客,但是老是有人把没有备案的域名解析过来,就很烦,能不能像机房一样,建立域名白名单,不是在白名单里的跳到阻断页面?现在有爱快和 ros 以及 lede.
请问有没有办法实现?
请问有没有办法实现?
 |
1
zhengrt OP 成功帮助我解决这个问题的,教你如何获取公网 IP 和 80,443
|
 |
2
vbcity 2020-06-19 12:36:18 +08:00
要阻断, 基本要用 L7 Filter, 分析 HTTP 请求包的 Host 字段,只允许包含你主机域名的数据包通过, 其他的直接跳转到另一个端口
|
 |
3
jy02201949 2020-06-19 12:39:10 +08:00
开 80 不怕被发通知么
|
 |
4
cxh116 2020-06-19 12:41:11 +08:00 via Android
默认站点,nginx return 444 。你搜
|
 |
5
wd 2020-06-19 12:41:26 +08:00 via iPhone
你用啥搭的 web ?你搜下 virtualhost 支持,你把不是你域名的都返回 403 就好了
|
|
8
zhengrt OP @jy02201949 许可的
|
|
10
zhengrt OP 我的意思是基于网络设备阻断,不是 web 系统里阻断
|
|
11
zhengrt OP 比如在主路由就阻断了
|
 |
12
Meano 2020-06-19 13:41:55 +08:00
TCP 的握手总得过吧,sni 识别也在握手之后,一般 iptables 规则是不行的,得有 sni match ( https)或 string match( http)标记链接,有功夫折腾这个还不如回个 444,match 总会造成性能上的损耗,在应用层 down 掉不影响正常链接,链路上的处理如果路由性能不好就会变慢点
|
 |
13
kennylam777 2020-06-19 13:44:36 +08:00
以你的設備,80 不可能了,443 的 SNI 可以用 RouterOS 解決,tls-host
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter |
 |
14
934831065ldc 2020-06-19 13:56:39 +08:00
正常情况下使用 nginx 就行了,将不是自己的域名,返回 404 就可以了。 能提供如何获取的家宽 80 、443 端口么
|
 |
15
a3587556 2020-06-19 14:17:01 +08:00  1
如果你的路由器支持 iptables 的话就能在 4 层把不符合条件的 drop
https://github.com/fifilyu/module-http-whitelist |
 |
16
samondlee 2020-06-19 15:38:09 +08:00
大佬可否公开呀
|
|
17
zhengrt OP @kennylam777 谢谢,
有没有什么软路由软件可以实现呢? |
|
19
zhengrt OP 就是有没有什么软件,可以实现像机房那样的白名单系统呢
|
 |
21
263 2020-06-19 16:46:33 +08:00
server {
listen 80 default_server; server_name _; return 444; } server { listen 443 default_server; server_name _; ssl_certificate /etc/nginx/ssl/xxx.com.pem; ssl_certificate_key /etc/nginx/ssl/xxx.com.key; return 444; } |
 |
24
exceldream 2020-06-19 17:28:48 +08:00 via Android
大佬如何开通 ? 手动狗头
|
 |
25
caola 2020-06-19 17:51:35 +08:00
@zhengrt nginx 安装 lua-nginx-module 模块,
server { listen 80; server_name _; location / { content_by_lua_block { ngx.exit(ngx.HTTP_CLOSE) return } } } |
|
26
caola 2020-06-19 18:07:01 +08:00
443 端口,不绑定 ssl 是无法正常访问的,所以不用特别处理
|
 |
27
fs418082760 2020-06-19 20:33:17 +08:00
反向代理?
|
 |
28
LGA1150 2020-06-19 21:10:50 +08:00
iptables HTTP 白名单:
iptables -N httpacl # 放行不带 Host:头的数据 iptables -A httpacl -m string ! --hex-string "|0d0a|Host:" --algo bm --from 12 -j RETURN # 放行百度 iptables -A httpacl -m string --hex-string "baidu.com|0d0a|" --algo bm --from 17 -j RETURN # 屏蔽其他数据 iptables -A httpacl -p tcp -j REJECT --reject-with tcp-reset # 只匹配 80 端口 HTTP GET 或 HEAD 数据包到白名单 iptables -A INPUT -p tcp --dport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0=0x47455420" -j httpacl iptables -A INPUT -p tcp --dport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0=0x48454144" -j httpacl 其中: 0d0a == "\r\n" 47455420 == "GET " 48454144 == "HEAD" |
|
29
zhengrt OP 好的谢谢大家!需要方法的可以私聊我 tg
|
 |
30
shabbyin 2020-06-19 23:38:58 +08:00 via iPhone
nginx 添加个自己的 servername 非自己 servername 的直接通配 /转 404 应该可以吧
|
 |
31
locoz 2020-06-20 13:59:35 +08:00 via Android
🐮🍺,80 、443 都能拿到
|
 |
32
geekvcn 2020-06-20 14:13:11 +08:00
走关系的吧?家宽备案?
|
 |
33
xinJang 2020-06-20 19:57:36 +08:00
我是来看看怎么开端口的
|
|
34
zhengrt OP 统一回复,深圳联通可以找我
|
 |
35
flying2010 2020-06-21 16:22:41 +08:00
被查到会断网吧?
|
 |
36
systemcall 2020-06-21 17:44:52 +08:00 via Android
返回 404 不也返回东西了吗?感觉直接丢掉要好些吧,怕请喝茶
|
|
37
zhengrt OP @systemcall 有道理
|
|
38
zhengrt OP 统一回复,大家都知道封端口在 BARS 上,那么进 BARS 之后不就解决了吗?速率也可以随意调整
|
 |
40
hello365 2020-06-22 09:59:41 +08:00
厉害了...BARS 个人能进?
|
 |
42
yelocat 2020-06-22 17:14:54 +08:00
怎么进 BARS 呢
|
 |
43
summerwindy 2020-06-30 11:49:55 +08:00
@zhengrt 你指的是 bras ?
|
 |
44
cdkey51 2020-07-03 16:11:25 +08:00 via iPhone
宽带接入服务器( Broadband Remote Access Server,简称 BRAS )是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户带宽的 IP/ATM 网的数据接入,实现商业楼宇及小区住户的宽带上网。
宽带接入服务器的推出在很大程度上是由于 ADSL 的大面积推广应用。宽带接入服务器应运而生,它成为宽带非 IP/IP 接入网络向骨干 IP 网络过渡的网络接入设备,解决了宽带用户在业务上、流量上和管理上的汇聚。 |
 |
45
Coioidea 2020-07-05 15:17:42 +08:00
(这种操作被抓到真就直接进局子了
|
 |
46
Chenhau 2020-07-11 18:35:27 +08:00
进 BRAS 被抓到就真没了
|
Select Language