V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lsylsy2
V2EX  ›  问与答

讨论一下, VPS 给人开代理时,需要做哪些防 spam 的设置?

  •  
  •   lsylsy2 · 2014-11-30 20:10:38 +08:00 · 5085 次点击
    这是一个创建于 3675 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,看到最近有个被封VPS的……
    就以Linode为参考,TOS禁止的有:
    1、滥用系统资源,这个做代理一般遇不到;
    2、发SPAM,iptables封端口就足够了么?都有哪些端口?
    3、入侵/攻击,这个比较难界定;想防止DoS的话,大概只能限速;防止入侵就很复杂了,很难判断用户是在正常访问网站/透过代理访问自己的另一台服务器,还是在SQL注入/SSH爆破。
    4、其它违法信息,比如用代理下BitTorrent盗版:这个更麻烦,一般只能马后炮……
    20 条回复    2014-12-01 10:04:15 +08:00
    Showfom
        1
    Showfom  
       2014-11-30 20:16:20 +08:00
    block port 25
    lsylsy2
        2
    lsylsy2  
    OP
       2014-11-30 20:21:00 +08:00
    @Showfom 465 587和POP3的110这种需要么?他们被用来发垃圾邮件可能性大么?不过全封的话挂代理的人没准就没法正常收发邮件了……
    Showfom
        3
    Showfom  
       2014-11-30 20:22:01 +08:00
    @lsylsy2 不回答2B问题
    lsylsy2
        4
    lsylsy2  
    OP
       2014-11-30 20:23:08 +08:00
    @Showfom 2B掩面飘过……找找资料去……
    Showfom
        5
    Showfom  
       2014-11-30 20:24:24 +08:00
    @lsylsy2 其实,你用 iptables 只开放某几个端口就行了 比如 22 443 80
    orvice
        6
    orvice  
       2014-11-30 20:25:23 +08:00
    @lsylsy2 用代理收spam Linode还能管嘛。。
    orvice
        7
    orvice  
       2014-11-30 20:26:39 +08:00
    @Showfom 这样连p2p也直接ban了吧。
    lsylsy2
        8
    lsylsy2  
    OP
       2014-11-30 20:27:47 +08:00
    @Showfom 是给教育网用的,教育网≈大中国局域网,所以挂代理的需求不只是“访问那些个不存在的网站”,而是“一切涉及到国外的应用,比如skype国际版、打游戏和老外联机”……
    很难用白名单去做
    lsylsy2
        9
    lsylsy2  
    OP
       2014-11-30 20:31:54 +08:00
    @orvice 587这种是SSL版的SMTP,不知道SSL的验证能不能制止spam……

    然后都跑题了啊!不光是spam啊,其他的呢……讨论讨论查漏补缺啊
    Showfom
        10
    Showfom  
       2014-11-30 20:40:20 +08:00
    @lsylsy2 教育网用 IPv6 不就行了。。。。
    lsylsy2
        11
    lsylsy2  
    OP
       2014-11-30 20:42:31 +08:00
    @Showfom IPv6现在也开始有墙了……(很久以前IPv6的DNS就被污染了)
    另外IPv6和“只开80 443端口”一样,不是万能的,像我自己现在就是路由器上通过IPv6连VPN,然后chinadns+chnroute_(:з」∠)_
    Showfom
        12
    Showfom  
       2014-11-30 20:43:03 +08:00
    @lsylsy2 发现你要求太多了= =
    bitwing
        13
    bitwing  
       2014-11-30 20:47:43 +08:00
    之前有相关帖子讨论过,
    iptables 25、1080都封掉吧,INPUT、OUTPUT、FORWARD default POLOCY 全部 DROP,只开放必要的,限制链接。

    SSH 禁 root 和 22,证书登录,更好的安全策略可以参考 https://wiki.archlinux.org/index.php/Ssh
    https://wiki.archlinux.org/index.php/SSH_keys#Disabling_password_logins

    版权问题有点棘手,与其等律师信被罚,干脆有罪推定,提前封掉相关下载站,我想包括 Tor
    、 Hentai 类的收集一份网址列表都屠掉

    因为只是一个人用,所以上面只是想法......
    Showfom
        14
    Showfom  
       2014-11-30 20:53:14 +08:00
    @bitwing 版权问题最好解决了,99.9%的律师信只是吓唬吓唬你
    lsylsy2
        15
    lsylsy2  
    OP
       2014-11-30 21:00:22 +08:00
    @bitwing 咦,封1080是个什么设定……
    我说的SSH的意思,是别人挂着我的代理,去破解别人的SSH……
    lsylsy2
        16
    lsylsy2  
    OP
       2014-11-30 21:43:45 +08:00
    @Showfom 你商业化了,考虑的东西只会比我多吧……( ̄▽ ̄")
    bitwing
        17
    bitwing  
       2014-11-30 23:15:58 +08:00
    抱歉,跳着看忽略了语境......
    1080 是 SOCKS 默认端口,常被扫描,我记得是这样。
    你也可以参考 /t/118804
    soulteary
        18
    soulteary  
       2014-11-30 23:21:30 +08:00   ❤️ 1
    @bitwing 这个时候,需要配fail2ban,加定时ban某些臭名昭著的主机&&主机段
    drivel
        19
    drivel  
       2014-12-01 06:10:24 +08:00
    @lsylsy2 律师信大部分情况下都是让你把东西撤下来或者警告一下,一般没人会直接告你的。我曾经收到过杨受成的律师信 =.=
    ryd994
        20
    ryd994  
       2014-12-01 10:04:15 +08:00 via Android
    挂代理下载版权,代理的管理者是没责任的,你只要回他们做过对应处理就行。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5012 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 09:44 · PVG 17:44 · LAX 01:44 · JFK 04:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.