这是一个创建于 2014 天前的主题,其中的信息可能已经有所发展或是发生改变。
rt,联通家宽 80,443 固定 ip 开通,建立了个人博客,但是老是有人把没有备案的域名解析过来,就很烦,能不能像机房一样,建立域名白名单,不是在白名单里的跳到阻断页面?现在有爱快和 ros 以及 lede.
请问有没有办法实现?
请问有没有办法实现?
 | 1 zhengrt OP 成功帮助我解决这个问题的,教你如何获取公网 IP 和 80,443 |
 | 2 vbcity 2020-06-19 12:36:18 +08:00 要阻断, 基本要用 L7 Filter, 分析 HTTP 请求包的 Host 字段,只允许包含你主机域名的数据包通过, 其他的直接跳转到另一个端口 |
 | 3 jy02201949 2020-06-19 12:39:10 +08:00 开 80 不怕被发通知么 |
 | 4 cxh116 2020-06-19 12:41:11 +08:00 via Android 默认站点,nginx return 444 。你搜 |
 | 5 wd 2020-06-19 12:41:26 +08:00 via iPhone 你用啥搭的 web ?你搜下 virtualhost 支持,你把不是你域名的都返回 403 就好了 |
| 8 zhengrt OP @jy02201949 许可的 |
| 10 zhengrt OP 我的意思是基于网络设备阻断,不是 web 系统里阻断 |
| 11 zhengrt OP 比如在主路由就阻断了 |
 | 12 Meano 2020-06-19 13:41:55 +08:00 TCP 的握手总得过吧,sni 识别也在握手之后,一般 iptables 规则是不行的,得有 sni match ( https)或 string match( http)标记链接,有功夫折腾这个还不如回个 444,match 总会造成性能上的损耗,在应用层 down 掉不影响正常链接,链路上的处理如果路由性能不好就会变慢点 |
 | 13 kennylam777 2020-06-19 13:44:36 +08:00 以你的,80 不可能了,443 的 SNI 可以用 RouterOS 解,tls-host https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter |
 | 14 934831065ldc 2020-06-19 13:56:39 +08:00 正常情况下使用 nginx 就行了,将不是自己的域名,返回 404 就可以了。 能提供如何获取的家宽 80 、443 端口么 |
 | 15 a3587556 2020-06-19 14:17:01 +08:00  1 如果你的路由器支持 iptables 的话就能在 4 层把不符合条件的 drop https://github.com/fifilyu/module-http-whitelist |
 | 16 samondlee 2020-06-19 15:38:09 +08:00 大佬可否公开呀 |
| 17 zhengrt OP @kennylam777 谢谢, 有没有什么软路由软件可以实现呢? |
| 19 zhengrt OP 就是有没有什么软件,可以实现像机房那样的白名单系统呢 |
 | 21 263 2020-06-19 16:46:33 +08:00 server { listen 80 default_server; server_name _; return 444; } server { listen 443 default_server; server_name _; ssl_certificate /etc/nginx/ssl/xxx.com.pem; ssl_certificate_key /etc/nginx/ssl/xxx.com.key; return 444; } |
 | 22 ericbize 2020-06-19 16:47:47 +08:00 via iPhone @ |
 | 24 exceldream 2020-06-19 17:28:48 +08:00 via Android 大佬如何开通 ? 手动狗头 |
 | 25 caola 2020-06-19 17:51:35 +08:00 @zhengrt nginx 安装 lua-nginx-module 模块, server { listen 80; server_name _; location / { content_by_lua_block { ngx.exit(ngx.HTTP_CLOSE) return } } } |
| 26 caola 2020-06-19 18:07:01 +08:00 443 端口,不绑定 ssl 是无法正常访问的,所以不用特别处理 |
 | 27 fs418082760 2020-06-19 20:33:17 +08:00 反向代理? |
 | 28 LGA1150 2020-06-19 21:10:50 +08:00 iptables HTTP 白名单: iptables -N httpacl # 放行不带 Host:头的数据 iptables -A httpacl -m string ! --hex-string "|0d0a|Host:" --algo bm --from 12 -j RETURN # 放行百度 iptables -A httpacl -m string --hex-string "baidu.com|0d0a|" --algo bm --from 17 -j RETURN # 屏蔽其他数据 iptables -A httpacl -p tcp -j REJECT --reject-with tcp-reset # 只匹配 80 端口 HTTP GET 或 HEAD 数据包到白名单 iptables -A INPUT -p tcp --dport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0=0x47455420" -j httpacl iptables -A INPUT -p tcp --dport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0=0x48454144" -j httpacl 其中: 0d0a == "\r\n" 47455420 == "GET " 48454144 == "HEAD" |
| 29 zhengrt OP 好的谢谢大家!需要方法的可以私聊我 tg |
 | 30 shabbyin 2020-06-19 23:38:58 +08:00 via iPhone nginx 添加个自己的 servername 非自己 servername 的直接通配 /转 404 应该可以吧 |
 | 31 locoz 2020-06-20 13:59:35 +08:00 via Android ,80 、443 都能拿到 |
 | 32 geekvcn 2020-06-20 14:13:11 +08:00 走关系的吧?家宽备案? |
 | 33 xinJang 2020-06-20 19:57:36 +08:00 我是来看看怎么开端口的 |
| 34 zhengrt OP 统一回复,深圳联通可以找我 |
 | 35 flying2010 2020-06-21 16:22:41 +08:00 被查到会断网吧? |
 | 36 systemcall 2020-06-21 17:44:52 +08:00 via Android 返回 404 不也返回东西了吗?感觉直接丢掉要好些吧,怕请喝茶 |
| 37 zhengr OP @systemcall 有道理 |
| 38 zhengrt OP 统一回复,大家都知道封端口在 BARS 上,那么进 BARS 之后不就解决了吗?速率也可以随意调整 |
 | 40 hello365 2020-06-22 09:59:41 +08:00 厉害了...BARS 个人能进? |
 | 42 yelocat 2020-06-22 17:14:54 +08:00 怎么进 BARS 呢 |
 | 43 summerwindy 2020-06-30 11:49:55 +08:00 @zhengrt 你指的是 bras ? |
 | 44 cdkey51 2020-07-03 16:11:25 +08:00 via iPhone 宽带接入服务器( Broadband Remote Access Server,简称 BRAS )是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户带宽的 IP/ATM 网的数据接入,实现商业楼宇及小区住户的宽带上网。 宽带接入服务器的推出在很大程度上是由于 ADSL 的大面积推广应用。宽带接入服务器应运而生,它成为宽带非 IP/IP 接入网络向骨干 IP 网络过渡的网络接入设备,解决了宽带用户在业务上、流量上和管理上的汇聚。 |
 | 45 Coioidea 2020-07-05 15:17:42 +08:00 (这种操作被抓到真就直接进局子了 |
 | 46 Chenhau 2020-07-11 18:35:27 +08:00 进 BRAS 被抓到就真没了 |
Select Language