راهنمای جامع جلوگیری از ابیوز نت اسکن هتزنر Hetzner

محافظت در برابر ابیوز و نت اسکن سرورهای Hetzner

اگر قصد خرید سرور هتزنر را دارید، فایروال و قوانین امنیتی که در ادامه توضیح داده شده است، یک راهکار جامع برای محافظت از سرور هتزنر در برابر سوءاستفاده‌های رایج، به خصوص ابیوز نت اسکن است. این مشکل در سرورهای Hetzner بسیار شایع است و می‌تواند منجر به مسدود شدن IP سرور یا حتی تعلیق حساب کاربری شود.

نت اسکن چیست و چرا خطرناک است؟

نت اسکن یا Network Scanning به معنای اسکن شبکه‌های داخلی و خارجی است. هکرها و مهاجمان معمولاً از سرورهای قربانی برای اسکن گسترده‌ی شبکه‌ها استفاده می‌کنند. این کار معمولاً برای شناسایی آسیب‌پذیری‌ها، یافتن سرورهای باز، و برنامه‌ریزی حملات بعدی انجام می‌شود. Hetzner نسبت به این فعالیت‌ها بسیار حساس است و سریعاً با آن‌ها برخورد می‌کند.

چگونه این قوانین فایروال از سرور محافظت می‌کنند؟

  • مسدودسازی شبکه‌های خصوصی:
    • با مسدود کردن دسترسی به رنج‌های IP خصوصی، جلوی اسکن شبکه‌های داخلی گرفته می‌شود.
    • این کار از سوءاستفاده از سرور برای حمله به شبکه‌های شرکت‌ها و سازمان‌ها جلوگیری می‌کند.
  • محدودیت دسترسی به رنج‌های خاص:
    • بستن دسترسی به رنج‌های IP مشخص شده، امکان اسکن شبکه‌های حساس را از بین می‌برد.
    • رنج‌های مسدود شده شامل شبکه‌های تست، مالتی‌کست و آدرس‌های رزرو شده است.
  • محافظت از پورت SSH:
    • با محدود کردن خروجی پورت 22، از استفاده‌ی سرور برای حملات SSH به سایر سرورها جلوگیری می‌شود.
    • ورودی پورت 22 باز می‌ماند تا دسترسی مدیریتی به سرور حفظ شود.

۱. نصب فایروال

ابتدا دستورات زیر را به ترتیب اجرا کنید:

sudo apt update sudo apt install ufw -y

۲. فعال‌سازی فایروال

sudo ufw enable sudo ufw status

۳. تنظیم قوانین پورت SSH

# باز کردن پورت ورودی SSH sudo ufw allow in 22/tcp# بستن پورت خروجی SSH sudo ufw deny out 22/tcp

۴. مسدود کردن رنج‌های IP غیرمجاز

دستورات زیر را به ترتیب اجرا کنید:

# شبکه‌های خصوصی (RFC 1918) sudo ufw deny out from any to 10.0.0.0/8 # شبکه خصوصی sudo ufw deny out from any to 172.16.0.0/12 # شبکه خصوصی sudo ufw deny out from any to 192.168.0.0/16 # شبکه خصوصی# رنج‌های Carrier-Grade NAT sudo ufw deny out from any to 100.64.0.0/10 # رنج CGN (RFC 6598)# آدرس‌های IPv4 ویژه sudo ufw deny out from any to 0.0.0.0/8 # شبکه فعلی sudo ufw deny out from any to 127.0.0.0/8 # لوپ‌بک sudo ufw deny out from any to 169.254.0.0/16 # لینک-لوکال sudo ufw deny out from any to 192.0.0.0/24 # IETF sudo ufw deny out from any to 192.0.2.0/24 # TEST-NET-1 sudo ufw deny out from any to 192.88.99.0/24 # 6to4 sudo ufw deny out from any to 198.18.0.0/15 # تست عملکرد sudo ufw deny out from any to 198.51.100.0/24 # TEST-NET-2 sudo ufw deny out from any to 203.0.113.0/24 # TEST-NET-3 sudo ufw deny out from any to 224.0.0.0/4 # مالتی‌کست sudo ufw deny out from any to 240.0.0.0/4 # رزرو شده sudo ufw deny out from any to 255.255.255.255/32 # برادکست# رنج‌های خاص ایران sudo ufw deny out from any to 2.60.0.0/16 sudo ufw deny out from any to 5.1.41.0/12 sudo ufw deny out from any to 102.230.9.0/24 sudo ufw deny out from any to 102.233.71.0/24 sudo ufw deny out from any to 102.236.0.0/16# آدرس خاص sudo ufw deny out from any to 127.0.53.53# اعمال تغییرات sudo ufw reload

۵. بررسی نهایی

برای اطمینان از اعمال صحیح تنظیمات:

sudo ufw status verbose

نکات مهم:

  • این قوانین باید بلافاصله پس از راه‌اندازی سرور جدید اعمال شوند.
  • قبل از اعمال تغییرات، مطمئن شوید که دسترسی SSH شما قطع نخواهد شد.
  • تمام دستورات را به ترتیب و با دقت اجرا کنید.
  • در صورت بروز مشکل، می‌توانید با دستور sudo ufw disable فایروال را غیرفعال کنید.
  • بعد از اجرای هر دستور، وضعیت فایروال را بررسی کنید.
  • نظارت مستمر بر لاگ‌های فایروال برای شناسایی مشکلات احتمالی توصیه می‌شود.

پشتیبانی و نگهداری:

  • تیم پشتیبانی رادان سرور به صورت ۲۴/۷ آماده‌ی کمک به مشتریان است.
  • در صورت دریافت اخطار از Hetzner، سریعاً با پشتیبانی تماس بگیرید.
  • به‌روزرسانی‌های منظم این قوانین برای مقابله با تهدیدات جدید ضروری است.

با اعمال این تنظیمات روی سرور هتزنر، سرور شما در برابر اکثر تهدیدات مرتبط با نت اسکن و ابیوز محافظت می‌شود و می‌توانید با خیال راحت‌تری از سرویس‌های Hetzner استفاده کنید.