看见大家在这里上演”矛和盾“的攻防大战，觉得有许多有意义的收获。还有两个引申出来的问题：1）你的web服务用来干什么？ 2）bell VS rogers 选那个？

lier(李耳)

本文发表在 rolia.net 枫下论坛1）你的web服务用来干什么？

在这个星球上有多少个大大小小的WEB在跑，天知道。

《《大腕》》里的台词”网站靠什么，靠的就是点击。点击上来了，立马套现加个零卖给下家”。

你的网站大概两条路：商业或公益用途。要是做公益或者blog，来ROLIA吧：-）（拍老版mp一下），也没什么广告，我个人估计rolia也不赚什么钱，纯粹爱好。要是你想练习一下什么技术，家里两台（甚至一台）就够了。如果做商业，思路和好的商业模式太重要了。GOOGLE才九岁，就成了这行业的巨无霸，youtube也就三四年，老版到是加了一大堆0，直接卖给下家，然后自己驾游艇享受下半生去了。

地球人都知道，在互联网，几乎信息资源都是公开可以找到的。你的商业模式是什么？别看我，我不知道。连邓小平还摸了许久的石头才熬到河中间。因此我们只能是也去摸，脚踩西瓜皮，滑哪算哪。

因此我们只能一分钱的家底掰成两分来花。利用现成的慢慢起步。

2）bell VS rogers 选那个？

ADSL 和 CABLE 其实都用DHCP的。现在已经没有什么固定IP给家庭用户了。（让我们期待17大召开后能大力推广IPv6吧）。我看见rogers有面对HOMEOFFICE的业务，大约100多一个月。bell 的sympatico似乎更面对家庭使用为主。

1and1.com 的hosting，服务器起步家就100一个月，还不包括其他隐含的费用和苛捐杂碎，对于我们刚起家的太奢侈了。而且服务器在别人那，就更本没有安全可言。

bell和rogers要采用的策略是，虽然不鼓励（家庭web），但绝对不能反对。不就是怕占用带宽吗。其实家庭web的流量上来的，业主（站长）自己都会主动换个新的带宽服务。两家公司应针对这种情况，推出更切实际的性格价格比。

打了这么臭长第一次的字，欢迎大家指导并跟贴不吝指教更多精彩文章及讨论，请光临枫下论坛 rolia.net

(#3960515@0)
Last Updated: 2007-9-28
This post has been archived. It cannot be replied.

可以的，只有不放有版权问题的东西，就没问题，动态IP也好解决，注册一个动态域名就行。 -googlebot(bot); 2007-9-11 (#3925315@0)

问一下，adsl上行和下行速度一样否，如果上行慢，下行快的话，做web server岂不是要占用不少带宽? -tiomanisland(_); 2007-9-28 (#3960367@0)

1）很久很久以前还用BELL的时候，收到过BELL的警告信，被扫描到有WEB SERVER和FTP SERVER。后来技术上屏蔽掉了BELL的扫描，也就平安无事。2）动态IP可以使用固定域名，详细参见连接。 -bdbs(不多不少); 2007-9-12 (#3926214@0)

先谢谢了。不过仍然有些问题不明白。入内。。。 -lier(李耳); 2007-9-12 {265} (#3926804@0)
WEB default 是 80，难道你把 80 port 关掉？改成其他的端口？那么一来，用户多不方便？否则BELL一扫80端口开着，那一定是WEB在跑？

第二，我也看过这个DYNDNS.ORG。但问题是他们的软件是安装在OS的基础上。现在BELL的modem 没有机会让你安装这个动态 DNS client 呀？

请指点...

Use port 8080, one example. Well, it may be still kicked out by scanning because it is a common HTTP port too. In your domain reroute setup, use http://xxxxxxxx:8089..... -xiaorenwu(老兵张嘎 ,红衣大炮); 2007-9-12 (#3926997@0)
1）仍旧用80，但拒绝所有对IP的直接访问，只允许通过域名的访问。BELL不知道你用什么域名，纯IP扫描扫不出来。2）软件是安装在自己本地机器上的。那个软件的作用就是监视外部IP是否变化并及时更新DNS服务器的mapping。 -bdbs(不多不少); 2007-9-12 (#3927026@0)

好。谢谢。长知识了。借用胡汉三的一句话：高，真高。 -lier(李耳); 2007-9-12 (#3927065@0)
请教一下，关于屏蔽只通过域名访问的。 a. 在哪一层屏蔽掉。如果TCP级屏蔽掉到80的连接吗？这个似乎你必须知道对方的IP. 如果由apache完成，这时候tcp连接是不是已经建立了？对方能够知道你80端口打开了。 b. apache中如何设置。谢谢 -stevensun2000(小胖子); 2007-9-27 (#3957285@0)

Better in firewall layer, also doable in service layer (web service). I don't use apache. -bdbs(不多不少); 2007-9-27 (#3958518@0)
我仔细想了想，认为还是不可能绝对屏蔽掉他们的扫描。分析入内。 -lier(李耳); 2007-9-27 {508} (#3959050@0)
bell 用DHCP分配的IP段，它当然知道IP范围.比如说1.1.1.1 ---- 1.1.1.254，那么好了，bell 每天运行一个程序，检测这些IP的80端口。它根本不用关心你用什么域名，只要你用它的IP，就不可能逃掉。nmap 的小程序就可以完成。也许，你的IPtable 或者其他的firewall可以做到这种拒绝恶意扫描程序。

至于Apache，就更不可能屏蔽人家bell，难道它还告诉你它用哪个IP来扫你吗？

如果把端口80改成其他的，并且用DYNDNS 或no-ip的服务，的确bell是不可能扫到的，但那样一来，你的用户是非常不方便了。除非小范围让人知道你的web是用那个端口开着的。

是的，我的Firewall可以拒绝扫描。 -bdbs(不多不少); 2007-9-28 (#3959371@0)

问题是你必须知道IP，如果IP也是动态变的。采用的是常规tcp3次握手。你防火墙怎么屏蔽呢？ -stevensun2000(小胖子); 2007-9-28 (#3959688@0)

我的firewall有拒绝port scan的功能，不清楚具体机理，但曾经有network guru的同事用linux下的工具测试扫描过，全部被拒。 -bdbs(不多不少); 2007-9-28 (#3959792@0)

Firewall's port scan function doesn't apply to a single connect to port 80 or 8080. -liquid(avaya); 2007-9-28 (#3959866@0)

Bell只是测试常用的HTTP/FTP端口，例如80， 8080，21等，通常不会扫描全部端口，而且如果你屏蔽Bell用于探测的服务器的话有可能会引起意想不到的后果。 -liquid(avaya); 2007-9-28 (#3959774@0)

要做这个也很简单, HTTP REQUEST里都有个HOST HEADER, (多数)firewall和web server可以drop掉http request w/ invalid host header -online(小城之忙忙碌碌); 2007-9-28 (#3959956@0)

是这个意思。 -bdbs(不多不少); 2007-9-28 (#3960028@0)

请教你是怎样“但拒绝所有对IP的直接访问，只允许通过域名的访问”？所有的连接都是基于IP的，即使是域名也是通过DNS解析成IP，难道我网络知识是错的？ -liquid(avaya); 2007-9-28 (#3959768@0)

我的网络知识是锈的。这里“拒绝所有对IP的直接访问，只允许通过域名的访问”指的是Service层面。 -bdbs(不多不少); 2007-9-28 (#3959801@0)

那一层？什么Service？原理是什么？请教了一个做防火墙的朋友，说这个不可能。 -liquid(avaya); 2007-9-28 (#3959839@0)

如果你了解 HTTP HEADER或virtual host的原理, 就知道这个很简单的了 -online(小城之忙忙碌碌); 2007-9-28 (#3959968@0)

到了service一层，下层连接已经建立了。此时block，已经晚了吧. -stevensun2000(小胖子); 2007-9-28 (#3959985@0)
请解释"拒绝所有对IP的直接访问，只允许通过域名的访问"。 -liquid(avaya); 2007-9-28 (#3959986@0)
I am expert on http, but I cannot figure out how you can block access by IP directly since all connections are made by IP only. -liquid(avaya); 2007-9-28 (#3959989@0)

#3959956 -bdbs(不多不少); 2007-9-28 (#3960029@0)

sign. http is on top of ip. you have to make ip connection first then you can talking about what to be transfered. do you really know what happens when you type "http://www.google.com" in your browser? -liquid(avaya); 2007-9-28 (#3960044@0)

sigh. Bell不会仅仅因为你的80端口开着而找你麻烦。大部分用户的80端口，by default，是开着的。 -bdbs(不多不少); 2007-9-28 (#3960059@0)

May I ask which program opens port 80 for most users? -liquid(avaya); 2007-9-28 (#3960073@0)

sigh! 你也太钻牛角尖了吧.没错,ip connection is made before http request being dropped, 但bbds说的ip direct access是指http request的(至少我是这么觉得的). ISP不会因为你OPEN了PORT 80就说你在跑WEB SERVER的. -online(小城之忙忙碌碌); 2007-9-28 {77} (#3960126@0)
另:我觉得ISP SCAN用户的可能性比较小吧,我们也只是SCAN server for security hole

#3960028 -bdbs(不多不少); 2007-9-28 (#3960168@0)

I understand your meaning too now. But what kind of programs open port 80 except web servers? Port 80 should be closed for most computers and should be stealth if firewall was there. The only exception is web server is running. -liquid(avaya); 2007-9-28 (#3960193@0)

如果你愿意的话，你可以以自己家的IP为基准，上下任选50到100个IP扫描一下，看看你的邻居们有多少80端口是开着的。你是否能认定他们都在跑web server？ -bdbs(不多不少); 2007-9-28 (#3960203@0)

I scanned using nmap and none of them has port 80 open or closed. Do you have example of what application listening on port 80 except web servers? -liquid(avaya); 2007-9-28 (#3960475@0)

Bell自己的Modem/Router。 -bdbs(不多不少); 2007-9-29 (#3962074@0)

Router should only reply request from IPs in same subnet or user configured. If a router reports port 80 opened to request from any IP, I will return it. Stealth is the basic functionality of Firewall. -liquid(avaya); 2007-10-5 (#3975564@0)

Marking... -lmt(Indoorsoccer); 2007-9-15 (#3933365@0)
block掉BELL的SCAN不难, 但只要你跑PUBLIC SERVER, 就不要以为networking查不到. 现在很多ISP都有用QoS的appliance(traffic classification), inbound/outbound traffic就知道你跑什么, 也不需要SCAN你的机器. 一般你没cause big issue, 人家也不一定管你罢了. -online(小城之忙忙碌碌); 2007-9-28 (#3959951@0)

我想如果用BELL的线路，也跑不了什么大流量的public server，只是玩玩或者私人用用而已。对ADSL来说，上传速度是很慢的。 -bdbs(不多不少); 2007-9-28 (#3960023@0)

I am using no-ip.com, but can not access from China -foolzz(foolzz); 2007-9-12 (#3926451@0)

这有可能“归功“于FLG。这样一来，中国政府就更方便阻挡FLG的精神渗透了。要做的就是在防火墙上把做这一类动态DNS解析的一级域名全都封掉。随你怎么变IP。 -lier(李耳); 2007-9-28 (#3960412@0)

这种免费域名免费空间，用的人多而杂，除了FLG，还有很多色情网站，所以基本上都被整体屏蔽掉的。 -bdbs(不多不少); 2007-9-28 (#3960430@0)

1 question, ask twice, 问一下，adsl上行和下行速度一样否，如果上行慢，下行快的话，做web server岂不是要占用不少带宽? -tiomanisland(_); 2007-9-28 (#3960369@0)

占用上行带宽而已。不妨碍下行带宽。ADSL上下行严重不对称，所以这一点来说，我还是喜欢rogers的cable。 -bdbs(不多不少); 2007-9-28 (#3960395@0)

that's right, 上行带宽much less than下行带宽, so 占用上行 will make surfing much slower for yourself -tiomanisland(_); 2007-9-28 (#3960441@0)

看见大家在这里上演”矛和盾“的攻防大战，觉得有许多有意义的收获。还有两个引申出来的问题：1）你的web服务用来干什么？ 2）bell VS rogers 选那个？ -lier(李耳); 2007-9-28 {1418} (#3960515@0)

你还是没搞明白。Bell is using ADSL so it's upload speed is much slower than Rogers' cable. -bdbs(不多不少); 2007-9-28 (#3960630@0)
And IPv6 may not be the hope. Your IPv6 address would still be assigned to your ISP and it still could be dynamic. -liquid(avaya); 2007-9-28 (#3960783@0)

试运行阶段，周末欢迎各位领导来此考察题字留念. http://jianghu.dyndns.org/. 平时关闭。如有宝贵建议者，不吝指点。 -lier(李耳); 2007-10-27 {26} (#4021447@0)

http://jianghu.dyndns.org/

@Sacramento

看见大家在这里上演”矛和盾“的攻防大战，觉得有许多有意义的收获。还有两个引申出来的问题：1）你的web服务用来干什么？ 2）bell VS rogers 选那个？

Replies, comments and Discussions:

More Topics