服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 阻止所有直接的IP请求,但允许域请求
Intereting Posts
如何将IISconfiguration从服务器复制到另一个? Windows Server 2008 R2(Rdp)login审计跟踪 挂载+testing挂载点从fstab真正安装到相关的分区 configurationvagrant使用主机的SOCKS代理 fsck关机而不是启动 789连接Forefront VPN Nginx的。 服务器指令inheritance。 主办网站/ VPS /自己的成本效益的方式? 创build事件查看器应用程序和服务日志 AWS StrongSwan IPSec VPN Apache2 SSL和Passengerconfiguration问题 Nginx禁用.htaccess和隐藏文件,但允许。well-known目录 什么是status_of_proc,我怎样称呼它? 默认pipe理员帐户被禁用时,如何恢复不同的pipe理员帐户密码? 与Git的Gitosis配额?

阻止所有直接的IP请求,但允许域请求

什么是最好的Linux选项阻止所有直接的IP请求到公共接口IP,但同时允许某些fqdn(基于域的)请求?

例:

服务器的公共IP为166.137.1.1,www.mywebsite.com DNS指向该服务器和IP。 以下是一些情况:

  1. 请求166.137.1.1 – BLOCK(在所有端口上)
  2. 请求www.mywebsite.com – 允许(只有端口80和443)
  3. 请求www.maliciouswebsite.com哪些点不知道我的服务器的IP为166.137.1.1 – BLOCK(在所有端口上)

示例3给恶意用户提供了例如欺骗web服务器的环境variables(CGI范围)的能力,例如HTTP_HOST

当数据包到达您的机器时,您绝对没有关于启动用户/软件/进程是否使用IP地址或DNS名称的信息。

这是HTTP 1.1协议,允许根据Host:头中给出的Host:名来决定做什么,所以你不能在防火墙上的TCP数据包级别上做这件事。 不过,你可能会得到几乎相似的结果:

  1. 在防火墙DROP每个数据包,除了端口80443
  2. 在Web服务器上
    • 创build一个默认的catch-all虚拟主机,回应错误404 Not Found或显示一些简单的“hostname not configured here”页面。 或301到你的规范主机名; 不pipe你想要什么
    • 创build另一个虚拟主机,只为正确的Host:头提供内容。