iT邦幫忙

0

關於實體ip的問題

ip

最近再嘗試網域架站想要從外面連到區網裡的網站
爬了許多文章都是發現都用轉port的方式,來完成
那如果我直接把ip改成實體ip會有問題嗎?
網路上好像很少人這麼做
是無法這樣作還是?

slime iT邦大師 1 級 ‧ 2019-07-10 22:07:21 檢舉
1. 要看 IP 管理單位有沒有允許使用實體 IP , 有允許使用實體 IP , 其他 Internet 上的電腦才能連到網站, 不然自己改 IP 是連不上 Internet 的.
2. 網站提供的服務以外, 網站的主機常開了其他功能如網路芳鄰, SQL , 用實體 IP 這些功能也會讓其他人可以連上, 若安全考慮不足很容易被入侵.
雷伊 iT邦新手 3 級 ‧ 2019-07-11 18:49:41 檢舉
不要什麼都往自己的機房塞,將公司屬於DMZ的服務慢慢移轉到雲端去
申請域名DNS託管後去租個雲端機器架站吧!
https://aws.amazon.com/ec2/pricing/on-demand/
zebrakky iT邦新手 5 級 ‧ 2019-07-11 20:21:04 檢舉
有考慮雲端 只是計價方式還在考慮 謝謝
4
清心明月
iT邦新手 5 級 ‧ 2019-07-10 23:20:19
最佳解答

爬了許多文章都是發現都用轉port的方式,來完成

你指的是port forward 吧?基於安全性考慮所以用這個方法。

補充:省錢也是一個理由,盡量減少使用實體IP的數量。只用一個實體IP把不同的PORT轉發到不同的Server上操作。因為架站有機會用上 Port 80(http), 20(ftp), 21(ftp), 25(smtp), 53(DNS), 110(pop), 443(https), 587(smtp)等,而且有機會用上不同的電腦,因此用port forward就可以減少實體IP的使用量。

那如果我直接把ip改成實體ip會有問題嗎?
網路上好像很少人這麼做
是無法這樣作還是?

你可以用實體IP,但你要面對大量的安全風險,因為你無法保證,系統沒有存在後門或系統漏洞,讓黑客有機會進入系統。
而且,服務器每天都被攻擊,服務器會做成很大的負擔。
所以,沒有理由及沒有必要用實體IP掛在服務器上操作。
在過去新聞報導公司Server 被Hacker 侵入,最主要都是這類用實體IP掛在Server 上操作做成。

通常最基本的安全做法,若Server 要用什麽port對外服務,就用Router 或 Firewall 做 port forward 到Server 上,減低Server 的安全風險。

對於其他的port的任何攻擊,就由router 或 firewall來承擔。
這只是最低耍求。

就算是這樣,被攻擊是不會停止。

若你還認為直接用固定IP,是沒有問題的話,保證你有機會被黑客,成功Hack到你的系統中。到時,失去資料、失去控制權,才會明白個中道理。

在1997年的時候,很多朋友就是沒有注意這方面的安全性。差不多都有不同程度的Sever被Hack,最嚴重的是失去資料、失去控制權。

看更多先前的回應...收起先前的回應...
zebrakky iT邦新手 5 級 ‧ 2019-07-11 07:57:42 檢舉

了解
最近剛學習架設網域,所以在考慮一些事
因為看到蠻少文章直接設定實體IP所以直接來詢問大家
目前也就是打算用轉PORT的方式執行然後用虛擬機來架設
請問這樣安全性高嗎?

您的做法,基本上是合格的要求。
但最好您了解什麼是 DDOS攻擊,這樣您可能會考慮用 Firewall 來代替一般的 Router。
Untangle NG是一個不錯的Firewall選擇,是免費的,但 {必須} 用實體機安裝,{不要考慮用} 虛擬機安裝。

請問這樣安全性高嗎?

安全性足夠,但不算高。因為安全包括的範圍,不只是入侵的問題,還有大量嘗試系統密碼、大量嘗試系統漏洞、佔用大量頻寬攻擊、電腦病毒、垃圾電郵等。如何封鎖不斷嘗試的入侵者,這是另一個範疇了。所以,希望你嘗試用Untangle NG。

補充:省錢也是一個理由,盡量減少使用實體IP的數量。只用一個實體IP把不同的PORT轉發到不同的Server上操作。因為架站有機會用上 Port 80(http), 20(ftp), 21(ftp), 25(smtp), 53(DNS), 110(pop), 443(https), 587(smtp)等,而且有機會用上不同的電腦,因此用port forward就可以減少實體 IP的使用量。

zebrakky iT邦新手 5 級 ‧ 2019-07-11 17:27:13 檢舉

那我網站架設在虛擬機上面之後再用router portforward轉換
這樣安全性會提高嗎

用虛擬機或用實體機對安全性方面,沒有太大關係。
當然,用虛擬機,在管理上是非常方便的。
這十多年來,我都沒有再用實體機建立Server了,全部系統都是採用虛擬機。

總而言之,用Router Port forward比較安全。

zebrakky iT邦新手 5 級 ‧ 2019-07-15 14:46:45 檢舉

那如果我用VM架設DNS然後用portforward 把它的53PORT 轉到實體電腦
如果DNS被攻擊是攻擊實體電腦還是虛擬呢?
因為我電腦53PORT 現在是變成是虛擬的53PORT也就是DNS
所以實體電腦應該是沒問題

那如果我用VM架設DNS然後用portforward 把它的53PORT 轉到實體電腦
如果DNS被攻擊是攻擊實體電腦還是虛擬呢?

如果你用VM架設DNS,然後把 Port 53 portforward到 VM的 DNS Server,當DNS被攻擊時,當然是攻擊VM(虛擬機)。

因為我電腦53PORT 現在是變成是虛擬的53PORT也就是DNS
所以實體電腦應該是沒問題

只能夠這樣說,這台實體電腦中的虛擬機的Port 53,正在被攻擊。也不能說完全沒有問題,因為正在耗用網絡資源和系統資源。 當使用port 53的虛擬機被入侵,只是虛擬機的問題,與實體電腦無關。

補充:
事實上dns server被攻擊的頻率實在太高了。
如果可以的話,盡量避免自己建立dns server。
要建立一個完美的,良好的dns server方案並不容易,工作量很大。 因為真的是要考慮的事情太多了。
可以考慮使用Cloudflare來代替,這個是免費的。
https://www.cloudflare.com

zebrakky iT邦新手 5 級 ‧ 2019-07-17 12:16:55 檢舉

那請問有哪裡再教防止攻擊等資訊的嗎
因為我也是別人建議我架設DNS然後自己設定防護之類的經驗

  1. 用 Chroot Jail 安裝 Bind 9 DNS Server
  2. 後備 DNS Server 2
  3. 用實體Firewall 減低 DDOS 對 Port 53 的攻擊
1
黃彥儒
iT邦好手 1 級 ‧ 2019-07-10 23:01:40

一個字:貴………
要幹的話就要去申請固定IP,那個粉貴的

zebrakky iT邦新手 5 級 ‧ 2019-07-11 07:58:25 檢舉

貴 請問怎說..實體IP?不是申請網路好了之後ISP就會給你了
難道直接使用那個?還有其他計價方式?

黃彥儒 iT邦好手 1 級 ‧ 2019-07-11 10:40:23 檢舉

zebrakky,我的裡解是你希望裝置直接取得實體IP而非使用NTA或是PPPOE的方式取得,在這個前提下,你需要固定制網路方案

2
小魚
iT邦高手 1 級 ‧ 2019-07-10 23:25:48

總之雖然我有被配置固定IP,
但是我還是去買了伺服器來架站,
我可不敢直接把我的電腦暴露在外面...

1
浩瀚星空
iT邦大師 1 級 ‧ 2019-07-10 23:41:13

其實,我不太懂你的訴求是什麼。

ip改成實體ip原本就是天經地義的事了。
只要是你想要對外開放就一定得要用實體ip。

你所找到用port的,一般會這樣的原因是

1.沒域名可指向。
2.不懂得架vhost指向處理。

以上兩個都是得變成ip指向進來。但ip只有一個,不能區分多個指向。
沒辦法就只好用port來做區分

其實我會說我不懂你的訴求的因素是,一但內部網域的網站想要外連出去。
原本就是得要接實體ip才能進來了。不接實體ip你是要怎麼對外發布你的網站?
至於你擔心的安全性問題。只要是對外了,不管怎麼樣都是會存在不安全的因素了。
但這又是另外一門學問了。
因為真的要安全就是不要對外,但又不能不對外。就會開始有很多的招式了。

0
harrytsai
iT邦新手 5 級 ‧ 2019-07-11 09:03:16

當然有人這樣做,只是沒有人那麼閒去捅這樣的網站,就駭客而言沒有人會想要駭完全沒有防備的主機,如果你的網站只是一些圖片,沒有任何註冊模組,也沒有跟內網結合,說穿了也沒什麼差別啦。

駭完全沒有防備的主機很有用,駭客們可以利用這些主機來做跳板,避開來源追蹤。

我要發表回答

立即登入回答