讨论一下， VPS 给人开代理时，需要做哪些防 spam 的设置？

RT，看到最近有个被封VPS的……
就以Linode为参考，TOS禁止的有：
1、滥用系统资源，这个做代理一般遇不到；
2、发SPAM，iptables封端口就足够了么？都有哪些端口？
3、入侵/攻击，这个比较难界定；想防止DoS的话，大概只能限速；防止入侵就很复杂了，很难判断用户是在正常访问网站/透过代理访问自己的另一台服务器，还是在SQL注入/SSH爆破。
4、其它违法信息，比如用代理下BitTorrent盗版：这个更麻烦，一般只能马后炮……

Showfom

2014-11-30 20:16:20 +08:00

block port 25

lsylsy2

2014-11-30 20:21:00 +08:00

@Showfom 465 587和POP3的110这种需要么？他们被用来发垃圾邮件可能性大么？不过全封的话挂代理的人没准就没法正常收发邮件了……

Showfom

2014-11-30 20:22:01 +08:00

@lsylsy2 不回答2B问题

lsylsy2

2014-11-30 20:23:08 +08:00

@Showfom 2B掩面飘过……找找资料去……

Showfom

2014-11-30 20:24:24 +08:00

@lsylsy2 其实，你用 iptables 只开放某几个端口就行了比如 22 443 80

orvice

2014-11-30 20:25:23 +08:00

@lsylsy2 用代理收spam Linode还能管嘛。。

orvice

2014-11-30 20:26:39 +08:00

@Showfom 这样连p2p也直接ban了吧。

lsylsy2

2014-11-30 20:27:47 +08:00

@Showfom 是给教育网用的，教育网≈大中国局域网，所以挂代理的需求不只是“访问那些个不存在的网站”，而是“一切涉及到国外的应用，比如skype国际版、打游戏和老外联机”……
很难用白名单去做

lsylsy2

2014-11-30 20:31:54 +08:00

@orvice 587这种是SSL版的SMTP，不知道SSL的验证能不能制止spam……

然后都跑题了啊！不光是spam啊，其他的呢……讨论讨论查漏补缺啊

Showfom

2014-11-30 20:40:20 +08:00

@lsylsy2 教育网用 IPv6 不就行了。。。。

lsylsy2

2014-11-30 20:42:31 +08:00

@Showfom IPv6现在也开始有墙了……（很久以前IPv6的DNS就被污染了）
另外IPv6和“只开80 443端口”一样，不是万能的，像我自己现在就是路由器上通过IPv6连VPN，然后chinadns+chnroute_(:з」∠)_

Showfom

2014-11-30 20:43:03 +08:00

@lsylsy2 发现你要求太多了= =

bitwing

2014-11-30 20:47:43 +08:00

之前有相关帖子讨论过，
iptables 25、1080都封掉吧，INPUT、OUTPUT、FORWARD default POLOCY 全部 DROP，只开放必要的,限制链接。

SSH 禁 root 和 22，证书登录，更好的安全策略可以参考 https://wiki.archlinux.org/index.php/Ssh
https://wiki.archlinux.org/index.php/SSH_keys#Disabling_password_logins

版权问题有点棘手，与其等律师信被罚，干脆有罪推定，提前封掉相关下载站，我想包括 Tor
、 Hentai 类的收集一份网址列表都屠掉

因为只是一个人用，所以上面只是想法......

Showfom

2014-11-30 20:53:14 +08:00

@bitwing 版权问题最好解决了，99.9%的律师信只是吓唬吓唬你

lsylsy2

2014-11-30 21:00:22 +08:00

@bitwing 咦，封1080是个什么设定……
我说的SSH的意思，是别人挂着我的代理，去破解别人的SSH……

lsylsy2

2014-11-30 21:43:45 +08:00

@Showfom 你商业化了，考虑的东西只会比我多吧……(￣▽￣")

bitwing

2014-11-30 23:15:58 +08:00

抱歉，跳着看忽略了语境......
1080 是 SOCKS 默认端口，常被扫描，我记得是这样。
你也可以参考 /t/118804

soulteary

2014-11-30 23:21:30 +08:00

@bitwing 这个时候，需要配fail2ban，加定时ban某些臭名昭著的主机&&主机段

drivel

2014-12-01 06:10:24 +08:00

@lsylsy2 律师信大部分情况下都是让你把东西撤下来或者警告一下，一般没人会直接告你的。我曾经收到过杨受成的律师信 =.=

ryd994

2014-12-01 10:04:15 +08:00

挂代理下载版权，代理的管理者是没责任的，你只要回他们做过对应处理就行。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/150474

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.