Puteulanus CDN 一般会提供节点 IP 段,可以直接屏蔽非 CDN IP 对 web 端口的访问 在扫描 40 亿个 IP 这个场景里,如果攻击者带着域名尝试的话,只是禁止“用 IP 访问 https 的证书泄漏”还是可以被扫出来呀
baiiylu Puteulanus 确实,你说的很有道理,我在文章中提到的案例实际上是想针对 某些攻击者扫描所有IP,然后将对应域名和IP绑定,之后公开以供查询 这种情况,如果要完美防止源站IP泄露,防火墙白名单确实是必须的,我将在文章中注明这一点 感谢
avatasia 玄瑞哟 看我iyuu反代文章. ip+host. 还是不清楚为啥要反代, 对家里服务来说都是上传. 顶多就是隐藏真实服务ip, 自己用的话,用不着吧. 不太了解反代细节, 如果反代是长连接, 倒是有点作用, 一般抓的是tcp connect, syn.
baiiylu 玄瑞哟 如果想直接IP访问的话,需要新建一个 server_name 为ip的配置文件,然后配置好SSL证书就可以了 如果Nginx中没有一个以IP为server_name的站点,nginx就会以 你访问的站点并没有配置 为由拒绝SSL握手
玄瑞哟 风206 这里反代的作用是当运营商怀疑你使用家宽ip搭建网页(开启了80或者443端口或流量异常)时,能不被运营商探测到域名(使用ip访问时不发送ssl hello报文并拒绝连接)并通过域名访问到你的网页。 端口转发出去的web界面运营商一扫一个准,ip+端口就能打开你的页面