这是一个创建于 366 天前的主题,其中的信息可能已经有所发展或是发生改变。
ISP 动态分配公网 ip ,所以干脆把 ip ddns 到一个子域名直接用这个子域名来 ssh ,但如果经 CloudFlare 代理一层就没办法 ssh 上去了,不经代理的话这个子域名就会暴露公网 ip 而被攻击(目前打算就挂在 CF 后面防 ddos ,因为上不起高防服务器 TAT )。
还是说这个子域名也不提供 web 服务,所以只要起个名字组合比较复杂的子域名然后不泄露这个子域名出去就好了?
 |
1
whusnoopy 2024-12-30 13:30:14 +08:00
把 ssh 用另一个子域名绑定 ddns ,并且换个端口?
常规端口应该都被运营商给拦掉了吧,想对外提供 web 服务就把不是用于 ssh 的这个子域名用 CloudFlare 套一层 |
 |
2
tf2 2024-12-30 13:31:02 +08:00  1
cf warp 就行。zero trust 那个,任意 tcp 端口都能套一层
代价是你得走一个 cf 客户端。 |
 |
3
SeleiXi OP @whusnoopy 人在香港,免费送公网 ip ,所有端口都健在()服务器是自己 10 年前的 win7 改成 linux 来的
|
|
4
SeleiXi OP @whusnoopy 嗷不过现在确实是这么做的,提供 web 服务的都套了 CF ,只有这个没套,但是这个子域名也有可能被遍历出来
|
 |
5
xiaket 2024-12-30 13:48:51 +08:00 1
我反正是公私钥加上 fail2ban. 个人觉得被攻击是系统层面该解决的问题, 不应该是架构层面解决
|
 |
6
amlee 2024-12-30 14:01:05 +08:00 1
公私钥加 fail2ban ,ssh 端口不用 22 ,所有连接 22 的全 ban 掉
专门用来 ssh 的子域名不开 cf 小黄云也没事吧,不是没挂 web 服务么? 我自己的服务器只开 443 和用来 ssh 的端口,443 开白名单只允许 cf 的 ip 段,cf 回源开完全严格。出站用 traefik 代理分流到不同的服务。 我感觉这样要是还出问题我就认了 |
 |
7
joeycheek 2024-12-30 14:20:53 +08:00 1
用 CF 的 tunnel
|
 |
8
LGA1150 2024-12-30 14:28:03 +08:00 1
zerotrust 可以用 webssh
|
 |
9
yc8332 2024-12-30 14:43:53 +08:00
公网 ip 本来就是开放的,有啥泄不泄露的。。。人家要扫一个工具就行了
|
 |
10
Ipsum 2024-12-30 14:48:06 +08:00
tailscale 组网,你还管他泄不泄露的?
|
 |
11
hackroad 2024-12-30 14:58:42 +08:00
内网穿透回去,你想干什么都行。
|
 |
13
lcy630409 2024-12-30 15:23:53 +08:00
“不经代理的话这个子域名就会暴露公网 ip 而被攻击”
NO 只要是公网 ip 就会攻击 别人是广撒网 做嗅探 不是你不暴不暴露出去的问题 |
 |
15
guanzhangzhang 2024-12-31 10:47:08 +08:00
headscale 组网,你还管他泄不泄露的?
|
Select Language