有效防止端口被封的办法
去ipip.net查自己家宽IP和蜂窝网络IP所在的网段(最下面ASN数据那里的CIDR就是本地运营商提供给民用的,像我的家宽给的是/13,手机网络给的是/12,全都覆盖了),在Linux服务器上用nftables将这2个段加入入站白名单,其他入站流量一律drop。嫌nftables太复杂的可以安装个firewalld。
具体操作步骤就不讲了,讲得太详细容易那啥。。。你懂的
补充:
为什么这个方法有效就不解释了 懂的都懂
Windows Server直接用自带的防火墙添加规则即可 图形化界面反而更简单
你还在纠结用什么协议 而我已经起飞
https://www.speedtest.net/result/13040885123.png
服务器:BWG 年付$46.87 DC6【Debian Unstable 队列fq+原版bbr ss-libev无插件aes-256-gcm加密】
本地:电信千兆 Windows 10 clash-premium(tun模式) 皇帝的新衣,流量还不是走海底光缆 :L 早就实践几年了:
https://0066.in/archives/860
我曾经发过很多次,但似乎大多数人还是不知道。 iptables太麻烦,而且只支持Linux,并且不支持BBR。
为了白名单转发,我自己用go写了个小程序,专门设置了白名单功能,Windows和Linux都能用。
白名单没什么用,流量还是能监控到的,虽然试探时不能访问,但不妨碍他看你不爽,仍把你拉进黑名单啊 看来很多人还是不知道,主动探测是封锁的必要条件,开IP白名单即便是你挂最原始的SS也不会被封锁。这个方法至少现在还是有用的。你也不一定非得用iptables写规则,有的VPS服务商提供防火墙直接用就行。自己写规则也不复杂,也就两行规则,我现在就在用。
iptables -t mangle -A PREROUTING -p udp -s 10.0.0.0/24 --dport 8080 -j ACCEPT
iptables -t mangle -A PREROUTING -p udp --dport 8080 -j DROP 最简单的例子 流量过大 这是很明显的特征还有就是 数据包特征没有特征就是最大的特征
墙会主动 和 被动探测比如 把异常ip都拉进列表 平常不处理开会期间统一ban等等
墙已经升级很智能了白名单估计就是一个红.头.文件就能执行 只能避免主动探测,无法避免被动探测,你的数据包还要被看一遍。 异常流量 照样处理 墙已经升级了 除非不走海底电缆 :lol 这肯定有用,好多奇怪的国内IP在扫。关键是动态IP麻烦 主要家里宽带是动态的 一会这个段一会那个段 就是自嗨呗 有利有弊 简单点说,白名单呗 是CIDR吗 不会经常变吗 动态IP也是在一个段或者几个段内有规律的,可以搜索一下比如广东电信IP段 用443好还是用高位端口好? 家里固定宽带就好几个段来回来去的跑
手机就更别提了啊……
页:
[1]