做shadowsocks服务器必备的安全措施
教程来自做shadowsocks服务器必备的安全措施
在做shadowsocks服务器,由于会经常性的IP暴露,所以给一些“聪明”的人有机可乘!下面基于iptables防火墙的一些保护给大家交流!
基于iptables
I. 查看并修改文件打开数
ulimit -a
ulimit -n
ulimit -n 51200
II. 限制连接数
iptables -A INPUT -p tcp --syn --dport ${SHADOWSOCKS_PORT} -m connlimit --connlimit-above 32 -j REJECT --reject-with tcp-reset
III. 禁止链接localhost
运行时加入--forbidden-ip 127.0.0.1,::1参数。
IV. 添加非root用户
sudo useradd ssuser
sudo ssserver [other options] --user ssuser
adduser --system --disabled-password --disabled-login --no-create-home ssuser
V. 禁止非WEB流量
iptables -t filter -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -m owner --uid-owner ssuser -A OUTPUT -p tcp --sport 1080 -j ACCEPT
iptables -t filter -m owner --uid-owner ssuser -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -m owner --uid-owner ssuser -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -m owner --uid-owner ssuser -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
如果有更好更安全的方法,希望大家多多留言!