用反向代理是不是能避免被扫描端口发现开放的服务？

木谷高明

反代比对域名，正确就转发上游服务器，这个可行。

我之前搞了个更复杂的对付联通宽带主动扫web端口，首先haproxy检查sni（域名）如果正确转发到nginx，nginx检查域名后的子路径是否正确，如果正确就转发到最终服务。
最终效果：
使用IP+端口不能访问，无TCP回包
使用IP+端口不能建立SSL连接
使用域名+端口不能访问，无TCP回包
使用域名/路径+端口正常https访问

由于路径是在https加密的，域名在sni是不加密的，防止运营商抓到域名进行探测。

木谷高明

xiaoyaowuming 发表于 2024-2-22 11:31
请问你这方法的这些东西都是本地配置还是需要云服务器？

百元硬路由刷openwrt，软件包里装了nginx和haproxy就行，布在nas或者玩客云这些也行

木谷高明

lhw369 发表于 2024-2-22 19:51
你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。

—— 来自 HUAWEI ALN-AL00, ...

对，最好扫出来是DROP/REJECT

木谷高明

风怒

木谷高明

noneoneone 发表于 2024-2-22 20:05
单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢，这标记了能有啥用。 ...

pcdn设备也会用upnp开端口

木谷高明

moondigi 发表于 2024-2-23 20:26
nginx一个就行了，非有效域名就ssl_reject_handshake，非有效路径就return 444

感谢指教