最贵的往往是那些免费带入坑，不能自拔～

有公网 ip 的家宽需注意，尽量不开放端口。
之前用的是路由系统 ikuai ，tmd 有 bug ，无理由开放端口，还发现个问题，免费版简直是耍流氓，nat 还限速了，ip 地址分组每次只能添加 1000 个，对 CIDR 格式的 ip 解析上 [例如添加 5 个 IP 分组就不行了感觉] ，感觉有限制，企业版不清楚。

昨晚开始慢慢迁移到 opnsense 防火墙系统，配合 ip 段开源库，逐步仅对国内 ip 开放相应端口。
最贵的往往是那些免费带入坑，不能自拔～

Enzoliu

233 天前

目前用的 nas 半年前就被我映射到公网上面了...
但愿平安...

leefor2020

233 天前

我对外只有一个 IPSec 的服务，其他端口一个都没开

happyxhw101

233 天前

我用的 openwrt ，日志上天天有国外 ip ，我现在对外端口全部通过 nginx 代理，包括 http ，ssh 等，只要是国外 ip 就返回 404, 同时监视日志只要是国外 ip 就丢到 ipset 里面永久封禁：

```
{"msec": "1695250093.634", "connection": "11974", "connection_requests": "1", "pid": "28", "request_id": "04618a16e27a69de2c2dd35d3be619e2", "request_length": "118", "remote_addr": "165.227.180.202", "remote_user": "", "remote_port": "45458", "time_local": "21/Sep/2023:06:48:13 +0800", "time_iso8601": "2023-09-21T06:48:13+ 08:00", "request": "GET /ab2g HTTP/1.1", "request_uri": "/ab2g", "args": "", "code": "404", "body_bytes_sent": "118", "bytes_sent": "297", "http_referer": "", "http_user_agent": "Mozilla/5.0 zgrab/0.x", "http_x_forwarded_for": "", "http_host": "218.74.49.39:8443", "server_name": "book.happyxhw.cn", "request_time": "0.000", "upstream": "", "upstream_connect_time": "", "upstream_header_time": "", "upstream_response_time": "", "upstream_response_length": "", "upstream_cache_status": "", "ssl_protocol": "TLSv1.2", "ssl_cipher": "ECDHE-RSA-AES128-GCM-SHA256", "scheme": "https", "request_method": "GET", "server_protocol": "HTTP/1.1", "pipe": ".", "gzip_ratio": "1.36", "http_cf_ray": "", "allowed": "no", "geoip_country_code": "US", "geoip_city": "Clifton"}

```

CEBBCAT

233 天前

建议发帖前深呼吸组织一下语言，我最近去图书馆，发现传统一些的纸本杂志的文字组织也都还不错，楼主可以找来看看借鉴学习

zuijiapangzi

233 天前

@happyxhw101 能细讲下你的 nginx 和 ipset 操作吗？想学习学习。

目前我也是 ikuai 。主要用 ddns ，映射 nas 上面的服务到公网，但是非常蛋疼的是我网线如果掉了再接过去，需要重启 ikuai 。不知道什么傻逼机制。
现在主要设备是一台 pve 虚拟机上面虚拟群辉，还有一台小型机器，在跑部分 docker 。

testver

233 天前

一定要主路由+旁路由的方式，主路由尽量采用传统路由，稳定是第一位的。

happyxhw101

233 天前

@zuijiapangzi 你爱快的端口会不会是 docker 的，docker 会绕过 iptables

happyxhw101

233 天前

@zuijiapangzi 就是 niginx 里面配上 geoip 模块，然后记到日志里面去，和你在 opensuse 里面类似，然后
用 ipset

ipset create blocknet hash:net
iptables -I INPUT -m set --match-set blocknet src -j DROP
ipset add blocknet 43.135.25.0/24

tinola

233 天前

没有公网 IP ，用的 ipv6,貌似还算清静。

zuijiapangzi

232 天前

@happyxhw101 我 ikuai 是在 pve 上的，把光猫的端口单独接入 ikuai 当 wan 口。然后虚拟其他端口为 lan 口。
关于 ipset 主要是想知道，这一步是不是得手动？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/975749

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.