配置 iptables 限制端口只允许从国内IP发起访问

发表评论

1. 安装软件包

sudo apt install ipset iptables netfilter-persistent ipset-persistent iptables-persistent

2. 启用配置持久保存功能

sudo systemctl enable netfilter-persistent
sudo systemctl start netfilter-persistent

3. 导入中国IP列表
IP列表来自 ipip.net (https://github.com/17mon/china_ip_list)

ipset_chinaip下载

4. 对指定端口添加限制
其中 in-interface 修改为你的外网接口,destination-port 修改为想要限制的端口

iptables -A INPUT --in-interface eth0 --protocol tcp --destination-port 22 --match state --state NEW --match set ! --match-set ChinaIP src -j DROP
iptables -L -v -n --line-numbers

5. 保存修改

netfilter-persistent save

在 Ubuntu 20.04 中安装 Racadm 及 DCISM

发表评论

软件包作用:
Racadm – 在 Ubuntu 中使用命令行控制 iDRAC (本机操作无需认证)
Dcism – 将 OS 操作系统信息同步到 iDRAC 信息页面

安装脚本:

#!/bin/bash

echo "" > /etc/apt/sources.list.d/linux.dell.com.sources.list

echo "deb http://linux.dell.com/repo/community/openmanage/10200/focal focal main" >> /etc/apt/sources.list.d/linux.dell.com.sources.list
echo "deb http://linux.dell.com/repo/community/openmanage/iSM/4200/focal focal main" >> /etc/apt/sources.list.d/linux.dell.com.sources.list
gpg --keyserver pool.sks-keyservers.net --recv-key 1285491434D8786F 
gpg -a --export 1285491434D8786F | apt-key add - 

apt update
apt install -y dcism srvadmin-idracadm8 srvadmin-hapi

if [ ! -f /usr/lib/x86_64-linux-gnu/libssl.so ]; then
	ln -s /usr/lib/x86_64-linux-gnu/libssl.so.1.1 /usr/lib/x86_64-linux-gnu/libssl.so
fi

systemctl start dcismeng.service

RouterOS 阿里云/腾讯云 DDNS 脚本

20条回复

将需要的脚本添加到 /system script 里,并在 /system Scheduler 里设置为每分钟执行一次。
根据说明修改开头的五个变量,即可实现阿里云/腾讯云域名的DDNS。

注意事项:
该脚本不会自动创建子域名,要更新的子域名必须事先添加好。

脚本及服务器端源代码看这里:
https://github.com/vibbow/routeros-ddns-script

脚本列表

ddns.rsc
IPv4 版本的 DDNS 脚本。

ddnsv6.rsc
IPv6 版本的 DDNS 脚本。如需双栈支持,请和 IPv4 版本脚本同时使用。

ddnsv6-for-pc.rsc
对指定 Mac 地址获取 IPv6 做 DDNS 的脚本。

更新日志

2021年12月1日
初始版本,仅支持 IPv4。

2023年3月15日
添加了对 IPv6 的初始支持。

2024年7月7日
支持对内网指定设备DDNS (根据Mac地址自动获取设备公网IPv6地址)

2024年7月22日
更新对 IPv6 的支持,兼容了单接口配置多个 IP 的情况。

Git 设置备忘录

发表评论

github.com SSH 加速访问

修改 C:\Users\Dell\.ssh\config 文件,添加如下内容: 

Host github.com
  User git
  Port 22
  Hostname github.com
  IdentityFile "C:/Users/Dell/.ssh/id_ecdsa"
  TCPKeepAlive yes
  ProxyCommand connect -S 127.0.0.1:7891 -a none %h %p

全局设置 GPG 签名工具

GPG4Win 下载地址:https://www.gpg4win.org/

git config --global gpg.program "C:/Program Files (x86)/GnuPG/bin/gpg.exe"

列举 GPG Key

gpg --list-secret-keys --keyid-format=long

针对 Git Repo 启用 GPG 签名

git config --local user.signingkey [YOUR GPG KEY]
git config --local commit.gpgsign true

Dell iDRAC 系统更新 Catalog 国内镜像

2条回复

功能:通过将 Catalog 文件指向到 Dell 国内镜像,加速 iDRAC 自带更新功能的更新速度。

使用教程:
iDRAC 系统更新 功能里,选择 手动更新
位置类型 选择为 HTTPS
HTTPS 地址 设为 dell.vsean.net
已过期或无效的证书操作 选择为 忽略

然后正常检查安装更新即可

如有安装racadm,也可直接使用以下命令检查安装更新

racadm update -f Catalog.xml.gz -e dell.vsean.net -t HTTPS -a FALSE

服务器端源代码看这里
https://github.com/vibbow/dell-catalog-mirror

因为安装包签名变更的缘故,老版本的 iDRAC 7 / iDRAC 8 无法直接更新到最新版的 iDRAC

对于 iDRAC 7 版本低于 2.30.30.30 的用户,请先更新到 2.41.40.40 中间版本
https://www.dell.com/support/home/zh-cn/drivers/driversdetails?driverid=xtpx4&oscode=ws8r2

对于 iDRAC 8 版本低于 2.80.80.80 的用户,请先更新到 2.81.81.81中间版本
https://www.dell.com/support/home/zh-cn/drivers/driversdetails?driverid=5hn4r&oscode=w12r2

iDRAC 7 / 12G 服务器 已经停止支持,可以使用 SUU 更新固件。详情查看以下链接:

Dell Server Update Utility (SUU) – 指南和下载
https://www.dell.com/support/kbdoc/zh-cn/000123359/

DELL Server Update Utility,Windows 64 位格式,v.22.11.00
https://www.dell.com/support/home/zh-cn/drivers/driversdetails?driverid=72h31

RouterOS 通用 Hairpin NAT 规则

发表评论 
/ip firewall address-list
add address=192.168.0.0/16 list=LAN
add address=172.16.0.0/12 list=LAN
add address=10.0.0.0/8 list=LAN

/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address-list=LAN src-address-list=LAN

以上规则可能不适用启用了VLAN划分了多子网的情况。

清理阿里云 ECS 无用进程

1条回复

阿里云助手
/usr/loca/share/aliyun-assist/2.2.0.89/aliyun-service

systemctl stop aliyun
systemctl disable aliyun
rm /etc/systemd/system/aliyun.service
rm /usr/sbin/aliyun_installer
rm /usr/sbin/aliyun-service
rm -rf /usr/local/share/aliyun-assist
systemctl daemon-reload

阿里云助手守护进程
/usr/local/share/assist-daemon/assist_daemon

systemctl stop AssistDaemon
systemctl disable AssistDaemon
rm /etc/systemd/system/AssistDaemon.service
rm -rf /usr/local/share/assist-daemon
systemctl daemon-reload

阿里云盾
/usr/local/aegis/aegis_client/aegis_10_89/AliYunDun
/usr/local/aegis/aegis_update/AliYunDunUpdate

curl -sSL http://update.aegis.aliyun.com/download/uninstall.sh | bash
rm -rf /usr/local/aegis

云监控插件 Go 版
/usr/local/cloudmonitor/CmsGoAgent.linux-amd64

/usr/local/cloudmonitor/CmsGoAgent.linux-amd64 stop
/usr/local/cloudmonitor/CmsGoAgent.linux-amd64 uninstall
rm -rf /usr/local/cloudmonitor

RouterOS 屏蔽小米电视广告

发表评论

因为使用到了正则式以及NXDOMAIN,需要RouterOS版本为 6.47 或更新版本

/ip dns static
add regexp="(^|\\.)(ad|ad1|shenghuo|xmpush)\\.xiaomi\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)(a|wtradv)\\.market\\.xiaomi\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)(bss|de|dvb|jellyfish|stat)\\.pandora\\.xiaomi\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)(d|migc|migcreport|mis)\\.g\\.mi\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)(notice|ppurifier)\\.game\\.xiaomi\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)(r|security)\\.browser\\.miui\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)adv\\.sec\\.intl\\.miui\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)adv\\.sec\\.miui\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)data\\.mistat\\.xiaomi\\.com\$" type=NXDOMAIN
add regexp="(^|\\.)union\\.mi\\.com\$" type=NXDOMAIN

以上代码直接复制进 RouterOS 的 Terminal 里执行即可。

域名规则来自 https://github.com/ACL4SSR/ACL4SSR/blob/master/Acl/backcn-banAD.acl