最近再嘗試網域架站想要從外面連到區網裡的網站
爬了許多文章都是發現都用轉port的方式,來完成
那如果我直接把ip改成實體ip會有問題嗎?
網路上好像很少人這麼做
是無法這樣作還是?
爬了許多文章都是發現都用轉port的方式,來完成
你指的是port forward 吧?基於安全性考慮所以用這個方法。
補充:省錢也是一個理由,盡量減少使用實體IP的數量。只用一個實體IP把不同的PORT轉發到不同的Server上操作。因為架站有機會用上 Port 80(http), 20(ftp), 21(ftp), 25(smtp), 53(DNS), 110(pop), 443(https), 587(smtp)等,而且有機會用上不同的電腦,因此用port forward就可以減少實體IP的使用量。
那如果我直接把ip改成實體ip會有問題嗎?
網路上好像很少人這麼做
是無法這樣作還是?
你可以用實體IP,但你要面對大量的安全風險,因為你無法保證,系統沒有存在後門或系統漏洞,讓黑客有機會進入系統。
而且,服務器每天都被攻擊,服務器會做成很大的負擔。
所以,沒有理由及沒有必要用實體IP掛在服務器上操作。
在過去新聞報導公司Server 被Hacker 侵入,最主要都是這類用實體IP掛在Server 上操作做成。
通常最基本的安全做法,若Server 要用什麽port對外服務,就用Router 或 Firewall 做 port forward 到Server 上,減低Server 的安全風險。
對於其他的port的任何攻擊,就由router 或 firewall來承擔。
這只是最低耍求。
就算是這樣,被攻擊是不會停止。
若你還認為直接用固定IP,是沒有問題的話,保證你有機會被黑客,成功Hack到你的系統中。到時,失去資料、失去控制權,才會明白個中道理。
在1997年的時候,很多朋友就是沒有注意這方面的安全性。差不多都有不同程度的Sever被Hack,最嚴重的是失去資料、失去控制權。
了解
最近剛學習架設網域,所以在考慮一些事
因為看到蠻少文章直接設定實體IP所以直接來詢問大家
目前也就是打算用轉PORT的方式執行然後用虛擬機來架設
請問這樣安全性高嗎?
您的做法,基本上是合格的要求。
但最好您了解什麼是 DDOS攻擊,這樣您可能會考慮用 Firewall 來代替一般的 Router。
Untangle NG是一個不錯的Firewall選擇,是免費的,但 {必須} 用實體機安裝,{不要考慮用} 虛擬機安裝。
請問這樣安全性高嗎?
安全性足夠,但不算高。因為安全包括的範圍,不只是入侵的問題,還有大量嘗試系統密碼、大量嘗試系統漏洞、佔用大量頻寬攻擊、電腦病毒、垃圾電郵等。如何封鎖不斷嘗試的入侵者,這是另一個範疇了。所以,希望你嘗試用Untangle NG。
補充:省錢也是一個理由,盡量減少使用實體IP的數量。只用一個實體IP把不同的PORT轉發到不同的Server上操作。因為架站有機會用上 Port 80(http), 20(ftp), 21(ftp), 25(smtp), 53(DNS), 110(pop), 443(https), 587(smtp)等,而且有機會用上不同的電腦,因此用port forward就可以減少實體 IP的使用量。
那我網站架設在虛擬機上面之後再用router portforward轉換
這樣安全性會提高嗎
用虛擬機或用實體機對安全性方面,沒有太大關係。
當然,用虛擬機,在管理上是非常方便的。
這十多年來,我都沒有再用實體機建立Server了,全部系統都是採用虛擬機。
總而言之,用Router Port forward比較安全。
那如果我用VM架設DNS然後用portforward 把它的53PORT 轉到實體電腦
如果DNS被攻擊是攻擊實體電腦還是虛擬呢?
因為我電腦53PORT 現在是變成是虛擬的53PORT也就是DNS
所以實體電腦應該是沒問題
那如果我用VM架設DNS然後用portforward 把它的53PORT 轉到實體電腦
如果DNS被攻擊是攻擊實體電腦還是虛擬呢?
如果你用VM架設DNS,然後把 Port 53 portforward到 VM的 DNS Server,當DNS被攻擊時,當然是攻擊VM(虛擬機)。
因為我電腦53PORT 現在是變成是虛擬的53PORT也就是DNS
所以實體電腦應該是沒問題
只能夠這樣說,這台實體電腦中的虛擬機的Port 53,正在被攻擊。也不能說完全沒有問題,因為正在耗用網絡資源和系統資源。 當使用port 53的虛擬機被入侵,只是虛擬機的問題,與實體電腦無關。
補充:
事實上dns server被攻擊的頻率實在太高了。
如果可以的話,盡量避免自己建立dns server。
要建立一個完美的,良好的dns server方案並不容易,工作量很大。 因為真的是要考慮的事情太多了。
可以考慮使用Cloudflare來代替,這個是免費的。
https://www.cloudflare.com
那請問有哪裡再教防止攻擊等資訊的嗎
因為我也是別人建議我架設DNS然後自己設定防護之類的經驗
一個字:貴………
要幹的話就要去申請固定IP,那個粉貴的
貴 請問怎說..實體IP?不是申請網路好了之後ISP就會給你了
難道直接使用那個?還有其他計價方式?
zebrakky,我的裡解是你希望裝置直接取得實體IP而非使用NTA或是PPPOE的方式取得,在這個前提下,你需要固定制網路方案
其實,我不太懂你的訴求是什麼。
ip改成實體ip原本就是天經地義的事了。
只要是你想要對外開放就一定得要用實體ip。
你所找到用port的,一般會這樣的原因是
1.沒域名可指向。
2.不懂得架vhost指向處理。
以上兩個都是得變成ip指向進來。但ip只有一個,不能區分多個指向。
沒辦法就只好用port來做區分
其實我會說我不懂你的訴求的因素是,一但內部網域的網站想要外連出去。
原本就是得要接實體ip才能進來了。不接實體ip你是要怎麼對外發布你的網站?
至於你擔心的安全性問題。只要是對外了,不管怎麼樣都是會存在不安全的因素了。
但這又是另外一門學問了。
因為真的要安全就是不要對外,但又不能不對外。就會開始有很多的招式了。
當然有人這樣做,只是沒有人那麼閒去捅這樣的網站,就駭客而言沒有人會想要駭完全沒有防備的主機,如果你的網站只是一些圖片,沒有任何註冊模組,也沒有跟內網結合,說穿了也沒什麼差別啦。