背景
如果你打开 search.censys.io 这一个网站搜索你的域名,很有可能你的源站IP就出现在搜索结果里。这是因为 Censys.io 会扫描所有的网络 IP 及其开放的端口,其中的扫描就包括 SSL 扫描。而一旦源站服务器上的SSL证书匹配了域名,那么就会将这一个域名对应的IP记录在 Censys 系统内。所以有必要对其扫描进行屏蔽。
操作步骤
首先确保开启了 UFW:
sudo ufw status
如果显示状态为 Active,则成功启用。接下来编辑在 /etc/ufw 目录中的 before.rules、before6.rules 两个文件,并添加如下内容:
#before.rules
-A ufw-before-input -s 162.142.125.0/24 -j DROP
-A ufw-before-input -s 167.94.138.0/24 -j DROP
-A ufw-before-input -s 167.94.145.0/24 -j DROP
-A ufw-before-input -s 167.94.146.0/24 -j DROP
-A ufw-before-input -s 167.248.133.0/24 -j DROP
#before6.rules
-A ufw6-before-input -s 2602:80d:1000:b0cc:e::/80 -j DROP
-A ufw6-before-input -s 2620:96:e000:b0cc:e::/80 -j DROP
至此,添加成功。如果网站的IP已经被记录到 Censys 中,在添加规则过后一段时间将会从 Censys 搜索结果中移除。