之前教程写过怎么设置让NGINX只接受来自CF的CDN的IP连接的方法(https://www.bnxb.com/nginx/27638.html),但是这是属于第7层协议,要动用NGINX来处理,效率并不高,其实我们完全可以利用CENTOS服务器防火墙来实现这一功能
这里以CENTOS7带的firewalld防火墙为例
首先安装firewalld,如果已经有了这一步跳过yum install firewalld
创建添加防火墙规则cd /etc/firewalld/zones/
vi public.xml
粘贴如下防火墙IP(注意:需要把你的IP也加进去,不然会无法使用SSH等连接服务器)
另外还有种方案,就是把CF的其他可用端口一并放行,然后使用宝塔等管理面板,管理面板指定使用这个端口,这样就相当于可以通过CF访问到面板,就不会造成无法管理服务器的问题了,CF可用端口见https://lab.bnxb.com/zhishi/27646.html
以上ip是cf公布的回源ip,CF只会使用这些IP段内的IP来连接你的服务器,因此这类设置这些IP开放80,443端口给他们连接,其他IP全部拒绝,如果你是使用其他cdn只要换成自己用的cdn的回源ip即可
然后重启防火墙firewall-cmd --reload
如显示success则成功。
如果是非CENTOS系统,可以使用UFW命令sudo ufw allow proto tcp from 173.245.48.0/20 to any port 80
sudo ufw allow proto tcp from 173.245.48.0/20 to any port 443
把上面的IP段全部添加进去就行了
如果是CENTOS6,只支持IPTABLE命令,那可以用下面方法iptables -I INPUT -s 173.245.48.0/20 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 173.245.48.0/20 -p tcp --dport 443 -j ACCEPT
同样的把上面的CF IP段全部添加进去就行了
然后重启防火墙service iptables save
service iptables restart
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
