建议小鸡开启防火墙以免被扫描爆破
一般来讲,如果小鸡没做防火墙策略,建站或者开放了ssh端口,你的ssh指纹,甚至网站域名都会被一些信息收集网站采集,例如 censys.io (大家可以进去搜一下自己小鸡的ip,看看有多少信息被采集)
保存为censys.zone
1 2 3 4 5 6
| 162.142.125.0/24 167.94.138.0/24 167.94.145.0/24 167.94.146.0/24 167.248.133.0/24 192.35.168.0/23
|
保存为censys6.zone
1 2
| 2602:80d:1000:b0cc:e::/80 2620:96:e000:b0cc:e::/80
|
安装iptable持久化套装
1 2
| apt update && apt install ipset iptables netfilter-persistent ipset-persistent iptables-persistent -y systemctl enable netfilter-persistent
|
创建一个名为 censys 的规则
1
| ipset -N censys hash:net
|
创建一个名为 censys6 的规则
1
| ipset -N censys6 hash:net family inet6
|
将 IP 段添加到 censys 规则中
1
| for i in $(cat /root/censys.zone ); do ipset -A censys $i; done
|
将 IP 段添加到 censys6 规则中
1
| for i in $(cat /root/censys6.zone ); do ipset -A censys6 $i; done
|
屏蔽censys
1
| iptables -I INPUT -p tcp -m set --match-set censys src -j DROP
|
屏蔽censys6
1
| ip6tables -I INPUT -p tcp -m set --match-set censys6 src -j DROP
|
保存规则
1
| netfilter-persistent save
|