Typecho建站记(三)---使用ufw防火墙提升服务器安全

-
        网站建好之后,考虑到服务器的安全性,我们需要禁用掉不必要的端口,减少被黑的可能性,因此就需要安装防火墙了。虽然Debian9自带的iptables也可以配置防火墙规则 ,但是配置起来比较复杂,因此我使用配置起来比较简单的ufw。

        运行下面的命令安装ufw
  • apt install ufw -y
        初始化ufw配置(默认禁止所有入站,同意所有出站)
  • ufw default deny incoming
  • ufw default allow outgoing
        允许ssh访问连接,否则启用防火墙后将无法通过ssh管理服务器(默认ssh管理端口为22,如果你的是其他,请自行修改)。
  • ufw allow 22
        允许web服务的访问连接,默认为80和443两个端口。
  • ufw allow 80
  • ufw allow 443
        查看防火墙状态和规则,此时未启用则会显示Status: inactive,启用后则会显示相应的规则 。
  • ufw status verbose
        启用防火墙
  • ufw enable
        至此已经配置好了防火墙,但是如果我们以后要修改的话,还可能会用到下面的命令。          删除对应端口的访问权限
  • ufw delete allow 80
        甚至直接停止防火墙
  • ufw disable
        或者重置防火墙(会删除所有配置的规则)
  • ufw reset
参考文章:

评论

发表评论

热门博文

小米路由器mini 刷LEDE及安装SSR

-
图片
        前几篇blog我们已经说过怎么架设自己的SS/SSR服务器了,但是现在每个人手里一般都有好几个上网设备,再在每一台设备上面运行SS/SSR客户端会很麻烦不说,个别设备上面还不一定有客户端SS/SSR(比如chrome cast),因此,在设备接入网络前就设置好翻墙环境还是很有必要的。         准备硬件:小米路由mini一个,容量大于256M的U盘一个,PC电脑一台。         准备软件:SSH软件(本文用的是putty: http://www.putty.org/ ), SCP文件管理(本文用的是winscp:  https://winscp.net/eng/download.php ), 小米旧开发版固件 https://drive.google.com/open?id=0Bya4YkC1EYGUMUhWeU5zMEhwRms , ssh开启固件 https://drive.google.com/open?id=0Bya4YkC1EYGUMDluNnFLY0x5cU0 , LEDE固件 https://downloads.lede-project.org/releases/17.01.4/targets/ramips/mt7620/lede-17.01.4-ramips-mt7620-miwifi-mini-squashfs-sysupgrade.bin ssr-libev(gfw版): https://drive.google.com/drive/folders/1qtrD6qc8YklKOTnu2TVUAtDM4QEqMZ5U         一、获取小米mini的SSH密码:按照此教程 http://bbs.xiaomi.cn/t-9921071 获取自己的SSH密码,注意:路由器需先登陆自己的小米帐号绑定。         二、刷入旧的开发版固件:这里是小米设的坑,刷最新版的固件会导致无法正常开启路由器的SSH管理功能,刷入旧的开发版固件可解决此问题。刷入方法:下载固件...
阅读全文 »

如何使用SS/SSR本地代理

-
图片
        由于最近谷歌play服务更新后,安卓会将手机开代理的wifi流量判为移动流量,导致有G友经常在社群里说无法备份照片或者无法下载每月更新包,虽然对有翻墙路由器的朋友来说这是一个不是问题的问题,但对没有翻墙路由器的G友来说还真是个闹心的事。不过好在PC端的SS是自带本地代理功能的,只需简单的设置,就可以让移动设备通过PC端的SS进行代理上网,从而解决上述的问题。         首先,当然是在电脑上安装SS软件,设定好服务器并开启本地代理功能,没有下载的朋友可以到 shadowsocks的GitHub发布页 下载,一图胜千言,直接参照下图设定就可以了:         在选中“允许来自局域网的连接”的时候,会弹出windows的防火墙菜单,如果你不记得自己当初选择的网络是公用网络还是私人网络的话,就把两个选项都选上好了,如下图:         有了本地代理的端口,我们还要知道本地代理的IP地址,也就是开着SS服务的电脑的内网IP地址,还是照着下图查看一下也很容易找到的:         在确保电脑已经可以正常连接墙外网站后,现在我们需要到移动设备里面去设置,将手机连接到和电脑在同一个路由器的网络后,进wifi设置中设置好代理就可以了,如下图:         至此,手机上已经像连接了翻墙路由器那样翻墙了,可以正常备份照片及更新系统,当然,这只是一个临时的解决方案,如果想要一劳永逸的话还是上一个翻墙路由器吧。         另外SSR的本地代理开启方式除了具体选项的位置可能和SS有差异以外,其方法是一样的。
阅读全文 »