最近发现有大量的海外机房 ip 在爆破，遂把自己的所有海外服务器都配置了 GEOIP 白名单

禁 ping ，改默认端口，禁密码登入

从 2005 年起，我管理的服务器 ssh 都已经限制死了不只是中国，而是本省运营商的宽带和专线 IP 池。
基本没有扫描现象

特殊情况外出，用 port trigger 触发自动临时开门，telnet 顺序触发两个 TCP 端口后，本 IP 加入临时白名单

限制国内可以减少一部分 我跟 2 楼思路差不多，从 GeoLite 获取所在省份的地址段，用 iptables 或者 nftable 搭配 ipset 配置端口策略，ssh 爆破再没遇到过

同 2 楼，之前用 fwknop2 敲击开门，但感觉不好用，去年底用 ai 自己写了个三方敲击开门，平常关闭非必要端口，要用的时候全自动敲击再重连

我是禁 ping 且三次登录失败永封 ip,其实禁 ping 就基本遇不到爆破了，以前没禁的时候每天都会多不少被 ban 掉的 ip

禁 ping ，改默认 SSH 端口，不使用 SSH 时直接使用云服务器防火墙禁掉 SSH 登录，物理断开

怎么发现被爆破呢

@cocalrush #7 日志

改端口，能破 99.9999 的攻击。

@SoulFlame 嗯看到了，之前把所有改成密钥登录了，爆破理论上无效

我是禁海外 ip ，ssh 只允许私钥登录，流量达到 xxx 关机

如何禁海外登录，还维护一份海内外的 ip 库？

linux 改成 3389 端口

@herozzm 直接让 ai 帮你搞，用 nftables 然后前置 geoip 白名单做入站，出站不限制，ssh 端口要留意，别把自己锁外边了

@pxw2002 改端口是必须的，但是会有脚本扫，如果装了 fail2ban ，脚本扫到会瞬间拉满 f2b ，然后把 cpu 撑爆，这是最恶心的

管理端口（如 SSH ）关闭 IPv4 侦听，减少 99% 扫描

@Magnetic 把 icmp 包的处理方式改成 drop 呢？ ssh 配置端口敲门，成功之前全部 drop

ssh 端口限 ipv6 访问 + 套一層 cloudflare tunnel + 限 cf ip 访问源站能減少很多问题。本地 v4 或 v6 到 cloudflare 的 edge ，然后 tunnel ipv6 回源到你的源站。

限制只允许你常用的网段，更彻底

以免失联可以再把几个自己 VPS 的 IP 也加进去

GEOIP 搞复杂了，没必要

VPS 的话我都是防火墙限到当前的/24 ，如果外出有需要用 VPS 服务商的控制台登陆改一下就行了。