这是一个创建于 331 天前的主题,其中的信息可能已经有所发展或是发生改变。
ISP 动态分配公网 ip ,所以干脆把 ip ddns 到一个子域名直接用这个子域名来 ssh ,但如果经 CloudFlare 代理一层就没办法 ssh 上去了,不经代理的话这个子域名就会暴露公网 ip 而被攻击(目前打算就挂在 CF 后面防 ddos ,因为上不起高防服务器 TAT )。
还是说这个子域名也不提供 web 服务,所以只要起个名字组合比较复杂的子域名然后不泄露这个子域名出去就好了?
 | 1 whusnoopy 331 天前 把 ssh 用另一个子域名绑定 ddns ,并且换个端口? 常规端口应该都被运营商给拦掉了吧,想对外提供 web 服务就把不是用于 ssh 的这个子域名用 CloudFlare 套一层 |
 | 2 tf2 331 天前  1 cf warp 就行。zero trust 那个,任意 tcp 端口都能套一层 代价是你得走一个 cf 客户端。 |
 | 5 xiaket 331 天前 1 我反正是公私钥加上 fail2ban. 个人觉得被攻击是系统层面该解决的问题, 不应该是架构层面解决 |
 | 6 amlee 331 天前 1 公私钥加 fail2ban ,ssh 端口不用 22 ,所有连接 22 的全 ban 掉 专门用来 ssh 的子域名不开 cf 小黄云也没事吧,不是没挂 web 服务么? 我自己的服务器只开 443 和用来 ssh 的端口,443 开白名单只允许 cf 的 ip 段,cf 回源开完全严格。出站用 traefik 代理分流到不同的服务。 我感觉这样要是还出问题我就认了 |
 | 7 joeycheek 331 天前 1 用 CF 的 tunnel |
 | 8 LGA1150 331 天前 1 zerotrust 可以用 webssh |
 | 9 yc8332 331 天前 公网 ip 本来就是开放的,有啥泄不泄露的。。。人家要扫一个工具就行了 |
 | 10 Ipsum 331 天前 tailscale 组网,你还管他泄不泄露的? |
 | 11 hackroad 331 天前 内网穿透回去,你想干什么都行。 |
 | 13 lcy630409 331 天前 “不经代理的话这个子域名就会暴露公网 ip 而被攻击” NO 只要是公网 ip 就会攻击 别人是广撒网 做嗅探 不是你不暴不暴露出去的问题 |
 | 15 guanzhangzhang 330 天前 headscale 组网,你还管他泄不泄露的? |
Select Language