1.
为什么台湾轮机房的端口与防火墙尤为重要
网络与地缘:
台湾机房常为亚太骨干节点,延迟与丢包敏感。
合规与审计:托管客户服务需严格记录端口变更与访问日志。
多租户隔离:轮机房常包含多个租户,端口策略决定安全边界。
DDoS 风险:海量入口流量需在边缘处做速率限制与清洗。
运维方便性:在线修改端口与防火墙减少维护窗口和故障时长。
部署建议:将关键管理端口替换为高端口、结合VPN或跳板主机进行管理。
2.
端口规划与NAT/端口映射要点(示例数据)
SSH管理:建议将SSH由22改为22022并仅允许管理网段访问,例如:203.0.113.0/28。
Web服务:80/443外网映射到内网容器端口(示例:外部443 -> 内部8443)。
NAT示例(iptables DNAT):iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.5.10:8443。
容器映射:Docker端口映射示例 docker run -p 8443:443 nginx。
端口分配原则:避免使用常见高风险端口(如3306直暴露),数据库通过私有网络访问。
3.
防火墙策略与规则模板(含速率限制示例)
默认策略:INPUT DROP、FORWARD DROP、OUTPUT ACCEPT(仅允许必要出站)。
白名单管理:仅允许管理IP段访问管理端口(示例:允许203.0.113.5/32访问22022)。
速率限制:防止SSH暴力破解 iptables -A INPUT -p tcp --dport 22022 -m conntrack --ctstate NEW -m recent --set --name SSH; iptables -A INPUT -p tcp --dport 22022 -m recent --update --seconds 60 --hitcount 6 --rttl -j DROP。
SYN flood保护:限制半连接队列与SYN重试:sysctl net.ipv4.tcp_syncookies=1; net.ipv4.tcp_max_syn_backlog=2048。
示例规则(nftables风格):nft add rule inet filter input tcp dport 443 ct state new limit rate 20/second accept。
4.
常见端口与防火墙规则对照表(示例)
以下表格列出典型服务端口、协议与建议动作为快速参考:
| 服务 | 端口 | 协议 | 建议动作 |
|---|
| SSH(管理) | 22022 | TCP | 仅管理网段白名单 |
| HTTP | 80 | TCP | 允许,前置WAF/CDN |
| HTTPS | 443 | TCP | 允许,使用证书管理 |
| 数据库(MySQL) | 3306 | TCP | 私网访问,不对公网开放 |
| 容器调度 | 2376 | TCP | VPN或跳板隔离 |
5.
CDN 与 DDoS 防御实践要点
使用CDN将静态流量入口转移到边缘,减少源站带宽消耗。
WAF策略:启用路径白名单、速率规则、常见攻击签名拦截。
DDoS清洗阈值示例:小流量保护阈值20K TPS,SYN速率阈值10K/s(由上游清洗设备决定)。
回源最小化:仅允许CDN回源IP访问源站端口,配置源站防火墙白名单。示例:iptables -A INPUT -p tcp -s 173.245.48.0/20 --dport 443 -j ACCEPT(示例Cloudflare IP段)。
日志与溯源:启用真实IP透传(X-Forwarded-For)并在源站保存CDN请求头以便溯源。
6.
台湾轮机房实际案例:VPS 配置与命令示例
机房与实例:某台湾VPS,规格4 vCPU / 8GB / 200GB NVMe,公网IP 203.0.113.10(示例)。
基础网络:网关203.0.113.1,netmask 255.255.255.0,DNS 1.1.1.1。
防火墙片段(iptables示例):iptables -P INPUT DROP; iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT; iptables -A INPUT -p tcp -s 203.0.113.5/32 --dport 22022 -j ACCEPT; iptables -A INPUT -p tcp --dport 443 -j ACCEPT。
服务部署:Nginx TLS配置监听8443,反向代理到后端服务10.0.5.20:8080,NAT规则将外部443映射到8443。
故障恢复:配置快照策略,每日快照保留7天,重要日志同步到外部ELK集群并保留30天。
7.
监控、审计与自动化运维要点
监控指标:流量(bps)、并发连接、SYN速率、HTTP 5xx率、CPU/内存/IO。
告警阈值示例:当入站流量>500Mbps且5分钟内持续时触发告警;SYN速率>2000/s触发DDoS预案。
自动化脚本:使用Ansible下发iptables/nft规则模板并验证差异。
日志审计:保留SSH审计记录与sudo日志,结合fail2ban自动封禁恶意IP(示例:封禁规则5次失败内30分钟)。
恢复与演练:每季度演练回滚、防护切换(切换到CDN清洗或BGP黑洞),并记录RTO/RPO。
8.
结论与行动清单
评估现有端口暴露面并制定白名单策略。
在边缘部署CDN/WAF并限制回源访问。
实现最小权限管理:管理端口只允许可信IP或VPN访问。
建立监控与自动化响应(速率限制、fail2ban、自动扩容)。
定期演练DDoS应急方案并保存配置快照与审计日志。
来源:网络工程师必备台湾轮机房 在线端口与防火墙配置要点
