今天给大家分享两个明月自用的 Linux 防火墙脚本,主要作用是强化使用了 CloudFlare 后的保护服务器真实 IP 的,一般来说,位于最前线的反向代理主要有如下几种:
- CDN:内容分发网络,就近为用户提供服务,加速访问;
- 高防 IP:高防 IP 一般位于大带宽的骨干网节点上,用于清洗 DDoS 流量;
- SLB:负载均衡器,用在大流量、繁忙的网站上,常见的 SLB 有 LVS、F5 等。
这三种反向代理主要作用不一样,配置好的情况下都能隐藏服务器真实 IP。对于普通的网站,使用 CDN 或者高防就足够,业务量大的情况下才会用到 SLB。使用 CloudFlare 的可以将回源 IP 加入白名单,屏蔽其他 IP 的任何请求。Cloudflare 的节点 IP 能正常回源,其他 IP 完全无法访问真实 IP 的网站服务器,很好的隐藏了真实 IP。
考虑到很多站长们喜欢使用宝塔面板,所以今天明月特意收集整理了一个适合宝塔面板用的脚本,通过 https://www.cloudflare.com/zh-cn/ips/获得 CloudFlare 的 IP 节点,保存为cf_ips.txt,然后编写如下的.sh 脚本文件:
# 首先将 cf 的 ip 加入白名单
while read -r line
do
firewall-cmd --zone=trusted --add-source=$line
done < cf_ips.txt
# 然后移除其他 ip 对 http 和 https 服务的访问
firewall-cmd --remove-service=http
firewall-cmd --remove-service=https保存后,直接 sh 脚本文件名称.sh 运行即可完成 CloudFlare 节点 IP 加入到宝塔的 Firewall 防火墙里了。这样只有 CloudFlare 的节点 IP 才能向服务器的 443 和 80 端口发送请求,其他 IP 一律屏蔽。
另外还有个 iptables 版的,这个是支持 IPv4 和 IPv6 的,并且可以自动获取 CloudFlare 的节点 IP,明月比较推荐这个:
#!/bin/bash
# Name : Anti IP Leakage
# Author: Zhys
# Date : 2019
# 禁止来自 IPv4 的所有 HTTP/S 访问请求
iptables -I INPUT -p tcp -m multiport --dports 80,443 -j DROP
# 对 Cloudflare CDN IPv4 地址开放 HTTP/S 入站访问
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp -m multiport --dport 80,443 -j ACCEPT; done
# 禁止来自 IPv6 的所有 HTTP/S 访问请求
ip6tables -I INPUT -p tcp -m multiport --dports 80,443 -j DROP
# 对 Cloudflare CDN IPv6 地址开放 HTTP/S 入站访问
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp -m multiport --dport 80,443 -j ACCEPT; done
# 保存 iptables 配置(请确保命令正确配置再保存)
iptables-save
ip6tables-save
好了,这样的 Linux 防火墙配置后,你隐藏在 CloudFlare 后的服务器真实 IP 就更加的安全了,理论上来说就老鼠屎们的智商没有高手的帮助,他们搜遍全网也是找不到你的真实 IP 的,就是几坨屎而已,屎的水平能有多高,终究是粪池里的东西!
本文转载自明月登录博客,文章的版本及解释权规明月登楼所有。
