راهنمای جامع جلوگیری از ابیوز نت اسکن هتزنر Hetzner
محافظت در برابر ابیوز و نت اسکن سرورهای Hetzner
اگر قصد خرید سرور هتزنر را دارید، فایروال و قوانین امنیتی که در ادامه توضیح داده شده است، یک راهکار جامع برای محافظت از سرور هتزنر در برابر سوءاستفادههای رایج، به خصوص ابیوز نت اسکن است. این مشکل در سرورهای Hetzner بسیار شایع است و میتواند منجر به مسدود شدن IP سرور یا حتی تعلیق حساب کاربری شود.
نت اسکن چیست و چرا خطرناک است؟
نت اسکن یا Network Scanning به معنای اسکن شبکههای داخلی و خارجی است. هکرها و مهاجمان معمولاً از سرورهای قربانی برای اسکن گستردهی شبکهها استفاده میکنند. این کار معمولاً برای شناسایی آسیبپذیریها، یافتن سرورهای باز، و برنامهریزی حملات بعدی انجام میشود. Hetzner نسبت به این فعالیتها بسیار حساس است و سریعاً با آنها برخورد میکند.
چگونه این قوانین فایروال از سرور محافظت میکنند؟
- مسدودسازی شبکههای خصوصی:
- با مسدود کردن دسترسی به رنجهای IP خصوصی، جلوی اسکن شبکههای داخلی گرفته میشود.
- این کار از سوءاستفاده از سرور برای حمله به شبکههای شرکتها و سازمانها جلوگیری میکند.
- محدودیت دسترسی به رنجهای خاص:
- بستن دسترسی به رنجهای IP مشخص شده، امکان اسکن شبکههای حساس را از بین میبرد.
- رنجهای مسدود شده شامل شبکههای تست، مالتیکست و آدرسهای رزرو شده است.
- محافظت از پورت SSH:
- با محدود کردن خروجی پورت 22، از استفادهی سرور برای حملات SSH به سایر سرورها جلوگیری میشود.
- ورودی پورت 22 باز میماند تا دسترسی مدیریتی به سرور حفظ شود.
۱. نصب فایروال
ابتدا دستورات زیر را به ترتیب اجرا کنید:
sudo apt update
sudo apt install ufw -y
۲. فعالسازی فایروال
sudo ufw enable
sudo ufw status
۳. تنظیم قوانین پورت SSH
# باز کردن پورت ورودی SSH
sudo ufw allow in 22/tcp# بستن پورت خروجی SSH
sudo ufw deny out 22/tcp
۴. مسدود کردن رنجهای IP غیرمجاز
دستورات زیر را به ترتیب اجرا کنید:
# شبکههای خصوصی (RFC 1918)
sudo ufw deny out from any to 10.0.0.0/8 # شبکه خصوصی
sudo ufw deny out from any to 172.16.0.0/12 # شبکه خصوصی
sudo ufw deny out from any to 192.168.0.0/16 # شبکه خصوصی# رنجهای Carrier-Grade NAT
sudo ufw deny out from any to 100.64.0.0/10 # رنج CGN (RFC 6598)# آدرسهای IPv4 ویژه
sudo ufw deny out from any to 0.0.0.0/8 # شبکه فعلی
sudo ufw deny out from any to 127.0.0.0/8 # لوپبک
sudo ufw deny out from any to 169.254.0.0/16 # لینک-لوکال
sudo ufw deny out from any to 192.0.0.0/24 # IETF
sudo ufw deny out from any to 192.0.2.0/24 # TEST-NET-1
sudo ufw deny out from any to 192.88.99.0/24 # 6to4
sudo ufw deny out from any to 198.18.0.0/15 # تست عملکرد
sudo ufw deny out from any to 198.51.100.0/24 # TEST-NET-2
sudo ufw deny out from any to 203.0.113.0/24 # TEST-NET-3
sudo ufw deny out from any to 224.0.0.0/4 # مالتیکست
sudo ufw deny out from any to 240.0.0.0/4 # رزرو شده
sudo ufw deny out from any to 255.255.255.255/32 # برادکست# رنجهای خاص ایران
sudo ufw deny out from any to 2.60.0.0/16
sudo ufw deny out from any to 5.1.41.0/12
sudo ufw deny out from any to 102.230.9.0/24
sudo ufw deny out from any to 102.233.71.0/24
sudo ufw deny out from any to 102.236.0.0/16# آدرس خاص
sudo ufw deny out from any to 127.0.53.53# اعمال تغییرات
sudo ufw reload
۵. بررسی نهایی
برای اطمینان از اعمال صحیح تنظیمات:
sudo ufw status verbose
نکات مهم:
- این قوانین باید بلافاصله پس از راهاندازی سرور جدید اعمال شوند.
- قبل از اعمال تغییرات، مطمئن شوید که دسترسی SSH شما قطع نخواهد شد.
- تمام دستورات را به ترتیب و با دقت اجرا کنید.
- در صورت بروز مشکل، میتوانید با دستور
sudo ufw disable
فایروال را غیرفعال کنید. - بعد از اجرای هر دستور، وضعیت فایروال را بررسی کنید.
- نظارت مستمر بر لاگهای فایروال برای شناسایی مشکلات احتمالی توصیه میشود.
پشتیبانی و نگهداری:
- تیم پشتیبانی رادان سرور به صورت ۲۴/۷ آمادهی کمک به مشتریان است.
- در صورت دریافت اخطار از Hetzner، سریعاً با پشتیبانی تماس بگیرید.
- بهروزرسانیهای منظم این قوانین برای مقابله با تهدیدات جدید ضروری است.
با اعمال این تنظیمات روی سرور هتزنر، سرور شما در برابر اکثر تهدیدات مرتبط با نت اسکن و ابیوز محافظت میشود و میتوانید با خیال راحتتری از سرویسهای Hetzner استفاده کنید.