分类 全部文章 下的文章

公网服务器安装routeros后的安全设置

最近很多朋友尝试在vps或者云服务器上安装ros,由于服务器是公网ip,安全风险很大,在这里写一下安装routeros后的安全设置。如何在云服务器上安装routeros,可以参考 Google Cloud Platform(gcp)谷歌云安装Routeros青云主机安装routeros,附一键安装routeros脚本

routeros安装完成首次启动是没有密码的,并且所有管理端口是开放的,也就是说,任何人只要先于你设置了密码,你就失去了控制权。

如果你是公有云(如阿里云,谷歌gcp等)的ecs上安装的话,先要设置安全组或者防火墙只允许自己宽带的公网ip访问,这样可以最大限度保证自己能在第一时间设置密码。如果是普通idc的vps的话,只能加快手速了。

1,使用webfig或者winbox登陆到routeros后,第一件事就是设置密码,路径是/webfig/#System:Password

2,关闭不需要的管理端口,路径是/webfig/#IP:Services,这里建议关闭除winbox和www的所有服务,并把开放的服务修改成其他端口号

3,修改管理员账号,/webfig/#System:Users,新建管理员,记得group选full取得所有权限,使用新管理员账号登陆routeros后禁用admin账号,避免输错管理员账号密码把自己关在外面

4,配置完其他后,记得在防火墙关闭公网dns查询,/webfig/#IP:Firewall.Filter_Rules.new,chain选input,protocol选udp,dst.port写53,in.interface选你的公网接口如ether1,最后action选drop。这样就能防止你的routeros被用来做ddos的放大攻击工具攻击别人,防止云服务商或者idc因为你的攻击行为(尽管非你本意)关闭你的服务器。

使用dnsmasq基于大陆域名白名单分流解析域名

有朋友问我怎么用dnsmasq做分流解析,其实挺简单,下面介绍一下。

以下以debian系linux为例,已在路由器做ip地址分流,参考routeros配置vpn分流大陆ip

1,安装dnsmasq

apt update
apt install dnsmasq

2,配置dnsmasq,默认使用8.8.8.8和8.8.4.4解析

vi /etc/dnsmasq.conf

粘贴下面三行到文件末尾

no-resolv
server=8.8.8.8
server=8.8.4.4

3,配置dnsmasq的解析白名单
这里使用了felixonmars/dnsmasq-china-list的大陆域名白名单
这个列表使用了114.114.114.114的dns服务器,这里建议使用运营商给你的dns服务器,一是解析会快一点,二是cdn识别会更准确

这里假设拨号获得的dns服务器是223.5.5.5,可以使用下面命令来生成使用运营商dns服务器的域名列表

curl -s https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.china.conf|sed 's/114.114.114.114/223.5.5.5/g' >/etc/dnsmasq.d/accelerated-domains.china.223.5.5.5.conf

如果需要使用大陆dns服务器解析apple或者google的域名,可以使用下面命令生成对应列表,这里我不推荐。

curl -s https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/apple.china.conf|sed 's/114.114.114.114/223.5.5.5/g' >/etc/dnsmasq.d/apple.china.223.5.5.5.conf
curl -s https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/google.china.conf|sed 's/114.114.114.114/223.5.5.5/g' >/etc/dnsmasq.d/google.china.223.5.5.5.conf

4,重启dnsmasq服务使配置生效

service dnsmasq restart

5,测试dns分流解析
首先使用大陆dns服务器解析google.com,多次测试得到的ip地址并不是google的ip,可以用ipip.net来查询ip所属

dig google.com @223.5.5.5

然后使用dnsmasq解析google.com,多次测试可以发现ip地址是google的

dig google.com @127.0.0.1

6,自己添加域名到白名单
别人制作的域名列表中如果不包含自己需要的域名,可以向列表追加

echo 'server=/你需要的域名/223.5.5.5' >>/etc/dnsmasq.d/accelerated-domains.china.223.5.5.5.conf

ipad使用utm安装windows7

ipad使用utm安装windows7
实际安装时间约半小时,最后一个阶段“正在完成”用时最长,用了15分钟以上,剪掉了
ipad pro 2020实际体验比较糟糕

dns解析问题导致wifi版ipad不能定位

最近入手了ipad pro 2020,发现在我现有的网络环境下不能定位,通过手机热点可以定位。

我家网络是大陆IP地址白名单,默认出口香港,dns解析是大陆域名白名单,默认8.8.8.8解析。

由于ipad是wifi版,只能通过联网定位,这也是家里的iphone没有发现不能定位的问题的原因,iphone定位有多种方式,比如基站,gps,网络等,而wifi版ipad只能通过联网定位。把手机打开飞行模式,关闭定位再打开,发现也不能定位了。于是可以确定不能定位和我的网络有关。

实际地理位置为北京,开始通过控制单一变量来排查。

开始排查网络,首先想到的是dns问题,于是保持路由规则不变,更换114dns,发现还是不能定位,猜测是dns缓存,重置网络设置发现还是不能定位,于是遇到了ios的一个坑,重置网络设置不能清空定位相关dns缓存,只有关闭定位,重新打开才会清空定位相关域名解析。于是按上述方法测试四个8dns,发现不能定位,之后有测试了其他dns,发现只有使用大陆dns才能定位。之后又测试了全局路由走香港使用上述几个dns,发现都不能定位,全局路由走联通,使用上述dns测试,只有大陆dns才能定位。总结就是使用大陆ip和大陆dns才能定位。不知道和实际地理位置是否有关。

之后就是排查域名
由于云上贵州之后我就把苹果相关域名解析全部使用8.8.8.8了,为了测试我又把大陆域名白名单中苹果域名列表添加到使用境内dns解析,然后发现可以定位。进一步,查看苹果域名列表,发现疑似域名gs-loc.apple.com和gs-loc-cn.apple.com,对这两个域名分别使用境内外ip和境内外dns组合解析,发现

所有情况下gs-loc-cn.apple.com的解析地址都相同
所有情况下gs-loc.apple.com的解析都是cname到gs-loc-new.ls-apple.com.akadns.net

然后开始组合解析gs-loc-new.ls-apple.com.akadns.net,发现
使用境外ip,境内和境外dns,得到的都是相同的解析地址,美国苹果ip
使用境内ip,境外dns,得到的是上述美国苹果ip
使用境内ip,境内dns,得到的是境内高德在阿里云的ip地址

于是清空苹果域名列表,只保留gs-loc.apple.com这一个域名,发现可以定位。
域名排查结果和上面排查网络结果相同。

总结:
1,wifi版ipad需要使用大陆ip和大陆dns才能定位。不知道和实际地理位置是否有关。
2,ios/ipados只能通过关闭-开启定位才能清空定位相关域名解析。
3,不差钱买蜂窝数据版ipad