Как избежать бана на хостинге Hetzner?
Для того, чтобы избежать бана на хостинге Hetzner (устанавливая майнеры), рекомендуется блокировать исходящий трафик в приватные сети.
Ниже перевод статьи с сайта провайдера.
Шаг 1. Убедитесь, что ufw установлен
Для управления брандмауэром сервера я использую ufw
(несложный брандмауэр).
Сначала убедитесь, что он установлен:
apt install ufw
Затем настройте его правильно, разрешив порты SSH, HTTP, HTTPS и т. Д., И включите его:
ufw allow 22 ufw allow 80 ufw allow 443 ufw enable ufw status
Шаг 2. Заблокируйте любое подключение к частным сетям.
К частным сетям относятся:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10
Заблокировать им исходящие сообщения довольно просто ufw
:
ufw deny out from any to 10.0.0.0/8 ufw deny out from any to 172.16.0.0/12 ufw deny out from any to 192.168.0.0/16 ufw deny out from any to 100.64.0.0/10 ufw deny out from any to 198.18.0.0/15 ufw deny out from any to 169.254.0.0/16
Проверьте статус брандмауэра с помощью, ufw status
и вы увидите что-то вроде этого:
Status: active To Action From -- ------ ---- [ . . . . . . . . . . ] 10.0.0.0/8 DENY OUT Anywhere 172.16.0.0/12 DENY OUT Anywhere 100.64.0.0/10 DENY OUT Anywhere 192.168.0.0/16 DENY OUT Anywhere
Вы также можете проверить с помощью iptables-save
, и вы должны увидеть что-то вроде этого:
*filter :OUTPUT ACCEPT [0:0] :ufw-before-output - [0:0] :ufw-user-output - [0:0] -A OUTPUT -j ufw-before-output -A ufw-before-output -j ufw-user-output -A ufw-user-output -d 10.0.0.0/8 -j DROP -A ufw-user-output -d 172.16.0.0/12 -j DROP -A ufw-user-output -d 192.168.0.0/16 -j DROP -A ufw-user-output -d 100.64.0.0/10 -j DROP
Вы можете протестировать это ping
, например ping 172.16.5.204
, и у вас должно получиться что-то вроде этого:
PING 172.16.5.204 (172.16.5.204) 56(84) bytes of data. ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ^C --- 172.16.5.204 ping statistics --- 4 packets transmitted, 0 received, 100% packet loss, time 3053ms
Шаг 3 - Разблокировать (необязательно)
Если по какой-то причине вам нужно разблокировать одну из этих частных сетей, вы можете сделать это, удалив соответствующее правило ufw, например:
ufw status numbered ufw delete <rule-number>
Вывод
Связь с вашего сервера с частными сетями не разрешена у многих провайдеров. Блокировка этих сообщений с помощью брандмауэра важна, особенно если у вас нет полного контроля над тем, что вы устанавливаете на свой сервер. Сделать это с помощью ufw очень просто.