【教程】【防护】教你添加回源白名单，只允许cdn访问小鸡_美国VPS

开始

前不久楼主发过一个帖子/thread-546327-1-1.html
讲怎么防止小鸡源ip被扫到。

然后xuhao0080大佬提供了一个更好的办法

套了CDN之后，只要设置源站只允许cdn的ip回源就好了。。。

这里做下总结。

———————
以下是教程。
———————
首先确定80还有443端口是关闭状态

A.Centos:

1. yum install firewalld(如果有就不用装了)

2. cd /etc/firewalld/zones/

3. vi cfrules.xml

粘贴以下代码

<zone>
<source address="173.245.48.0/20"/>
<source address="103.21.244.0/22"/>
<source address="103.22.200.0/22"/>
<source address="103.31.4.0/22"/>
<source address="141.101.64.0/18"/>
<source address="108.162.192.0/18"/>
<source address="190.93.240.0/20"/>
<source address="188.114.96.0/20"/>
<source address="197.234.240.0/22"/>
<source address="198.41.128.0/17"/>
<source address="162.158.0.0/15"/>
<source address="104.16.0.0/12"/>
<source address="172.64.0.0/13"/>
<source address="131.0.72.0/22"/>
<port protocol="tcp" port="80"/>
<port protocol="tcp" port="443"/>
</zone>

复制代码

上面的ip列表是cf的回源ip，其他cdn的换成自己用的cdn的回源ip即可

4. firewall-cmd –reload
如显示success则成功。

B.其他系统:

使用ufw

例示命令

sudo ufw allow proto tcp from 192.168.0.0/24 to any port 80
sudo ufw allow proto tcp from 192.168.0.0/24 to any port 443

复制代码

改成cdn的ip段慢慢添加吧（楼主还不会批量添加。。。）

使用iptables

例示命令

iptables -I INPUT -s 192.168.0.0/24 -p tcp –dport 80 -j ACCEPT
iptables -I INPUT -s 192.168.0.0/24 -p tcp –dport 443 -j ACCEPT

复制代码

改成cdn的ip段慢慢添加吧（楼主还不会批量添加。。。）

service iptables save
service iptables restart

———————-
附上nodecache 也就是楼主签名的cdn的回源列表,使用nodecache就添加这个

23.225.74.0/24
23.225.94.0/24
172.247.246.0/24

复制代码

———————
补充
———————

1.用类似的方法也可以给自己小鸡的shh端口添加白名单（谨慎留好备用入口再添加）。。。
添加后小鸡就基本全部对外封闭了，安全性很高。

2.其他cdn也可以找客服要回源IP，同理添加。

3.CloudFlare用第三方的面板，CNAME接入可以防止被打到回源。。。

以上

广东网友:怎么用GIA小鸡反代呀？是不是数据库放到杜甫，然后程序放到GIA
浙江网友:cf回源，晚上炸到你想不到
油管200，敢用？
广东网友: 这里讲的是网站套了cdn。怎么增加安全性。
就是设置白名单。

cf是cdn的例子。

还有cf之所以慢不就是因为滥用多嘛
重庆网友:也是，现在网站都不想用CF的CND了。晚上慢的一塌糊涂啊~
宁夏网友:咨询下大佬，如果一个VPS上面有多个WEB站点，每个WEB站点都开启了CDN，这时应该怎么配置呢
台湾网友:所以有什么其他CDN推荐呢？，不要太贵的
重庆网友:上面添加白名单的方法是直接对白名单ip放行80还有443端口。和网站数量没有关系的。所有网站都是走80 443

配置了多个cdn，只要将所有cdn回源ip都添加进去就行了。。我自己就放行了cf还有nodecache两个cdn的IP。。
湖北网友:大佬nodecache的CDN用的如何哇，1T流量多久有效期额
云南网友:弄个小鸡自己搭建个cdn 爽歪歪
吉林网友:送的流量是一个月有效。。
node延迟还有速度比cf都要好。
但说实话比不上主流的cdn,我目前是两个一起配置，电信走cf.移动还有联通走node
山东网友:送的流量是一个月有效。。
node延迟还有速度比cf都要好。
但说实话比不上主流的cdn,我目前是两个一起配置，电信走cf.移动还有联通走node
江西网友:小鸡源都走gia了，那还套什么cdn呀，直接回源快多了。。
江西网友: 有的时候也感觉慢，现在有杜甫了，相放杜甫上
青海网友:mark。谢谢楼主的教程
贵州网友:
网站迁到杜甫，前端用gia小鸡反代，三大运营商哪条线路不行，再接cdn.
预算足就不要纠结，一起用，一起上哈哈哈
澳门网友:后排顶大佬的教程。
山西网友:mark一下
贵州网友:怎么用GIA小鸡反代呀？是不是数据库放到杜甫，然后程序放到GIA
江西网友:如果网站没有前后端之分的话。。网站全部迁移杜甫。

然后gia小鸡做一个反向代理到杜莆的ip。

域名解析到gia小鸡哪里就好了呀。
上海网友:明白了，就是全部都代理到杜甫，然后杜甫自己处理，但是GIA到杜甫网络稳定160.。。
香港网友:明白了，就是全部都代理到杜甫，然后杜甫自己处理，但是GIA到杜甫网络稳定160.。。
西藏网友:直接用ipv6就行了，有本事他就慢慢扫
广东网友:卧槽，还有这骚操作，那么问题来了，CF对什么网络好
河北网友:感谢！！
吉林网友:看你分到什么ip。自己测试就知道了。
我是电信访问比较好。

一些dns商的高级套餐支持分地区解析。预算够，国内每个省套一种cdn都可以
浙江网友:这…..太烧钱了还是放在GIA上面吧，顶多数据库分出去
广西网友:这个方法对套cdn的站来说大大提高了安全性，顶一下
山西网友🙁 ?? ? 我发的信息我行吗哦哦们模型屋上菩提，cleababuqu
山东网友:收藏
河北网友:mark
天津网友:mark
西藏网友:哪里可以查阿里云cdn的所有ip段，全球加速的
湖南网友:还是国外大厂好。。。
看看阿里云，要回源ip只能通过api拿，api必须cdn带宽买10g以上才能用
cf文明阿里野蛮，，，
新疆网友:这么套路？。回源ip每个人都不同吗？