分享服务器防扫描的解决方案

在公网环境下，不论是 Windows 还是 Linux 服务器，只要暴露了常见端口，就会受到恶意脚本的扫描和暴力破解，攻击目标往往是 Administrator 或 root 用户密码。

虽然只要不是弱口令，账号一般不会被破解，但日志中每天成千上万次的扫描和爆破记录，让人很不舒服。

如果设置安全组家宽又会变动（很多小公司等也是用的家宽，毕竟便宜），一两天就需要更新一下安全组太麻烦，但是下面的办法可以解决这个问题。

设置云服务器安全组

拒绝所有 IP 所有端口（默认规则）

• 设置一条优先级较低（如 100）的规则，拒绝所有入站连接。

开放你想公开的端口（如 80、443）

• 再设置几条优先级较高（如 1）的规则，只允指定端口访问公开，例如：
  • 80（HTTP）
  • 443（HTTPS）

此时，服务器只允许外部访问 Web 服务，其他端口全部拒绝访问 —— 包括你自己。

给自己的ip段授权（如 3306、3389、22）

家庭宽带 IP 经常变动，没法像企业专线那样设置固定 IP 白名单。所以要授权一段ip，这段ip就是自己家宽的变动范围，通常家庭宽带变动的只是最后一个字段（即最后一个八位数）

举例：你当前的家宽公网 IP是 111.111.111.123，那么就授权 111.111.111.1 ~ 111.111.111.255这个ip段，在安全组授权对象一栏可以写 111.111.111.0/24 段（CIDR 表达方式）

注意事项

该方法不适用于存放重要数据的服务器。因为等同于对你的附近人开放了敏感端口

目前这个方法比较适合我，佬友有其他方法的也可以分享下。

我如果出差想访问家里的服务呢？

直接改为高端口呗

1.问运营商要公网ip（很难）
2.ipv6 动态域名解析回家（需要你家和你在外的网络都支持ipv6，三大运营商的宽带和流量就都支持。）这样等于把你家暴露在公网，需要做好一定安全防护，尤其是监控和nas等设备，

更改默认端口也会被扫，有木马在干这件事。

随机一个高位端口+22端口钓鱼+fail2ban+禁止root用户，只允许密钥登陆，安全的很

如果有服务要开放给公网，很难完全杜绝被扫描。对管理用途的端口可以设防火墙规则限制来源IP、只能登录VPN访问；对需要开放的端口设置桥头机，把实际承载业务的服务器藏到后面，不能直接被扫到……一些业务可以考虑结合geo数据库限制来源IP的地区或者ASN，但这在实用中其实效果不是太好，其实来自国内一些地区的扫描比境外的多多了。

高位端口加禁止root远程登录,仅允许密钥登录,禁用挑战时间,fail2ban,够了.

很有用的实践手段！

zerotier、tailscale打洞组局域网吧，速度还可以

我刚禁了两个b段，两天时间扫了我ssh几百M的日志

有点复杂，不过相对更安全，我要的只是一个能防止扫描且省心的办法，连接服务器前不需要额外操作的办法更适合我

暴力破解基本破不开，完全没有杀伤力，但就恶心你，哈哈哈哈哈