فایروال

تنظیم فایروال

چرا فایروال سیستم مهم است

ربات ها برای اینکه سرور ارائه دهنده خدمات v2ray را شناسایی کنند، روشهای متعددی را استفاده میکنند. یکی از این روش ها شبیه سازی اتصال با پروتکل های v2ray و ارزیابی جواب آنهاست. در اکثر مواقع این عملیات توسط رباتهایی با آدرس IP های شرکت ارتباطات زیرساخت انجام میشود. به همین دلیل بهتر است این آدرس ها شناسایی و بلاک شوند.

لیست آدرس ها را میتوانید از منابع زیر پیدا کنید:

در مواردی این موضوع توسط رباتهایی از سایر نقاط هم دیده شده که در واقع این عملیات برای پیدا کردن آنها مناسب نیست.

مواردی که حتما باید در نظر داشته باشید

۱. بین سرور محلی و خارجی

وقتی دو سرور محلی و خارجی دارید، و از تانلینگ بین این دو سرور استفاده میکنید، برای پورت(های) سرویس (های) سرور خارج، امکان ارتباط را فقط برای سرور محلی فراهم کنید.

به عنوان مثال اگر سرور محلی شما با آدرس a.b.c.d در دسترس است، و با پورت های ۴۴۳و ۸۴۴۳ در حال سرویس دهی است، دستورات زیر را بکار ببرید:

iptables -A INPUT ! -s a.b.c.d -p tcp -m tcp --dport 443 -j DROP
iptables -A INPUT ! -s a.b.c.d -p tcp -m tcp --dport 8443 -j DROP

اگر از netfilter-persistent استفاده میکنید، موراد را به شکل زیر را در فایل مربوطه ذخیره کنید:

File: /etc/iptables/rules.v4

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT ! -s a.b.c.d -p tcp -m tcp --dport 443 -j DROP
-A INPUT ! -s a.b.c.d -p tcp -m tcp --dport 8443 -j DROP
COMMIT

و سپس سرویس مربوطه را ریستارت کنید:

systemctl restart netfilter-persistent.service

۲. استفاده از تانل reverse

اگر سرور داخلی شما توسط ارتباط معکوس با سرور خارج تانل شده است (reverse) بهتر است هیچ سرویسی روی inbound در سرور خارج تعریف نشود و در صورت لزوم به داشتن آن، به سرور محلی محدود شود.

۳. ارتباط مستقیم از یک پروایدر

اگر همه استفاده کننده های سرور شما از یک منطقه جغرافیایی و فقط از طریق یک فراهم کننده خدمات اینترنتی سرویس میگیرند، بهتر است به کل محدوده IP های آن شرکت محدود شود.

۴. محدود کردن ارتباط سرور با ایران

اگر کانفیگ را به صورت رایگان پخش می‌کنید، می‌توانید فایروال را به نحوی تنظیم کنید که برای پورت مورد استفاده در کانفیگ‌ها، تنها امکان اتصال از IP کشور مورد نظر شما (مثلا ایران) وجود داشته باشد. چون تعریف لیست IP یک کشور نیاز به سخت افزار قوی دارد، تعریف چنین محدودیتی در سرور راحت نیست. ولی اگر از سرویس ابری استفاده می‌کنید، سرویس فایروال این سرویس‌های ابری، ایجاد قوانین فایروال بر اساس کشور را ارائه می‌دهد. همچنین برای افزایش امنیت پنل و پیدا نشدن آن توسط سیستم فیلترینگ، می‌توانید برای پورت پنل تنظیمات برعکسی را انجام دهید که پنل از داخل کشور مبدا (مثلا ایران) باز نشود و خودتان برای اتصال به پنل، از VPN استفاده کنید.

Feedback

Was this page helpful?

Glad to hear it! Please tell us how we can improve.

Sorry to hear that. Please tell us how we can improve.

آخرین تغییرات 2023.09.20: Adding country-based rule for firewall (#1) (5f49c39)