我可以将 146.112.61.106 IP 地址映射到我的 127.0.0.1 地址吗？

所以当我输入 146.112.61.106 时，我被重定向到 127.0.0.1 ？（也许是一些 netsh 命令？）

与this和this question类似，我想阻止用户使用IP访问我的服务器。

对于 HTTP（端口 80），这可以正常工作，但不适用于 HTTPS。所以用户仍然可以进入https://<myip>访问webserver，nginx返回默认证书。顺便说一句，我在“常用”服务器块中使用 HTTP2（使用我的域名），所以我使用：

listen 443 ssl http2;
listen [::]:443 ssl http2;

我现在尝试使用它来阻止 HTTPS ip 访问：

server {
   listen 443 ssl;
   listen [::]:443 ssl;

   server_name _;
   return 444;
}

然而不幸的是，无论是否使用域，这都会阻止所有 HTTPS 请求。我知道可能有必要阻止非 SNI 客户端，因为这些客户端当然不会将使用的域名传送到服务器，所以我对此表示满意。（我的意思是不支持 SNI 的客户无论如何都是旧的......）

我通常更喜欢在 nginx 中阻止它，但是如果您对在防火墙级别 (iptables) 阻止它有一些想法，我也很高兴看到这些。如果你想争论为什么用 iptables 阻止更好你也可以这样做并说服我也阻止对 IP 的 HTTP [或所有其他] 请求。通常断开连接很好（就像 nginx 状态代码 444 那样）。

但是有一个要求：我不想在配置中明确提及服务器的 IP 地址，因为它是动态 IP 并且服务器使用动态 dns 服务。

简而言之，这就是我想要实现的目标：

• 通过 IP 阻止访问
• 允许通过域名访问
• 可以阻止非 SNI 客户端
• 可以为此使用防火墙阻止
• 断开连接很好
• 不提服务器的IP地址
• 没有通过 …

我的内部网络是 192.168.0.x，网关是 192.168.0.1。

我有用户将 VPN 连接到我们的防火墙，然后基本上将它们添加到网络中。

但是，如果他们的家用路由器的 IP 地址为 192.168.0.1，那么我们当然会遇到各种问题。

那么，避免这种情况的理想网络地址设置是什么？我已经看到远程用户的路由器地址在 10.x 范围内的设置，所以我不确定我能做些什么来防止这种情况发生。

非常欢迎任何评论！

前几天我正在检查我的域的反向 DNS 条目，该条目是从专用服务器运行的。

我注意到另一个人/公司的域指向我的服务器？我不知道这家公司是谁，或者他们为什么将他们的域指向我的服务器 IP？

我怎样才能阻止这种情况或强迫他们改变？

在我的一些需要在 LAN 外部访问的生产系统上，我有时会在边缘添加防火墙限制，以仅允许来自特定源 IP 地址或块的 RDP 上的流量。当然，IP 需要是静态的（或者我需要在它发生变化时更新它），但我的问题是，作为防止攻击者访问该系统的一种手段，这有多可靠？在 RDP（最常见）的情况下，仍然存在用户名/密码身份验证，但是依赖这些基于 IP 的防火墙限制是一个坏主意吗？

我最初的想法是 IP 欺骗在拒绝服务中更有用，当您并不真正关心数据包返回到发起者时，但在获得更高的访问权限方面，攻击者真的那么容易吗？欺骗他的 IP并以某种方式将数据包路由回他的真实地址？

我注意到/proc/net/dev说 eth3 有 1753drop秒。ip -s link显示 0 dropped。为什么有区别？不同的数据来自哪里？哪一个是正确的？

我已经删除了额外的数据。

# uname -a
Linux example09 2.6.32-5-amd64 #1 SMP Thu Mar 22 17:26:33 UTC 2012 x86_64 GNU/Linux

# lsb_release -a
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.4 (squeeze)
Release:        6.0.4
Codename:       squeeze

# cat /proc/net/dev
Inter-|   Receive                                                |  Transmit
 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
  eth3:1258629839430 12545003042    0 1753    0     0          0  10594858 6666255952912 10026428444 …

基本上，我的目标是拥有一个 100% 可移植和独立的服务器。我正在使用由太阳能电池板和电池供电的 Raspberry Pi 构建它，并将使用 4g 热点连接到互联网。它只需要有 2 个功能，一个 SSH 服务和一个 VPN 服务。

这是我的问题。

我最初开始这个项目时认为我最大的问题将是 IP 漫游。我为自己设置了一个动态 DNS 域并编写了一个每 60 秒更新一次的 cron。然后我将我的热点端口转发到 Pi（热点基本上是一个路由器，而 pi 有一个 wifi 加密狗）。

但是，我无法使用它的公共 IP 连接到热点路由器。就在那时，我意识到所有 4G LTE 设备都在子网上接收到更大 NAT 的 IP。这显然是4G的新做法。用于接收可访问公共 IP 的 3G 设备。

基本上我需要一种方法来访问没有唯一 IP 的 VPN 服务器。

VPN 服务器是否可以与客户端建立连接，有点像反向 SSH 隧道？

就像它可以连续轮询一组 IP 地址（或动态 DNS 域）直到其中一个接受连接，或者轮询另一台服务器，该服务器将包含当前“想要”连接的 IP 列表（这些 IP 基本上将轮询该服务器以请求 VPN 连接）。

我知道它很迟钝并且破坏了客户端服务器模型，但我在这里有点绝望。是否可以？

我在strongswan(v5.2.0) 实例（站点 A）和RouterOS路由器（站点 B）之间启动并运行了一个站点到站点 IPsec 隧道。一切正常，站点 A ( 10.10.0.0/16) 和 B ( 10.50.0.0/16)的两个私有子网设置中的主机可以很好地相互通信。

我不明白的是ip xfrm policy站点 A 的路由器的以下输出（公共 IP 被混淆）。这些策略是由创建的strongswan，我没有手动安装或修改它们：

ip xfrm policy 
src 10.50.0.0/16 dst 10.10.0.0/16 
    dir fwd priority 2947 ptype main 
    tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A>
        proto esp reqid 1 mode tunnel
src 10.50.0.0/16 dst 10.10.0.0/16 
    dir in priority 2947 ptype main 
    tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A>
        proto esp reqid 1 mode tunnel
src 10.10.0.0/16 dst 10.50.0.0/16 
    dir …

Tl;博士

我在多实例 SQL Server 上有一个 SQL Server 实例 (SQLSERVER01-i01)，具有专用 IP 地址和端口 (162.xxx.xxx.51:1433)（Windows Server 上的每个 SQL Server 实例都有自己的 IP 地址)，它们都在一台 Windows 服务器 (SQLSERVER01 / 162.xxx.xxx.50) 上运行。

我还有一个专用的 Reporting Services 实例 (SQLSERVERRS01-i01)，它有自己的 IP 地址和端口 (168.xxx.xxx.71:1433)，它在不同的 Windows 服务器 (SQLSERVERRS01) 上运行，有自己的 IP 地址 (168 .xxx.xxx.70）。

专用的 Reporting Services 服务器有一个应用程序APPL1，可以通过http://SQLSERVERRS01-i01:80/Reports_APPL1或 通过 访问该应用程序http://SQLSERVERRS01:80/Reports_APPL1。

由于*:80主机标头的 Reporting Services 配置中的配置，SSRS 将接收这两个请求。

我们在每个 IP 范围之间有多个防火墙，这意味着我们必须为每个 IP 到 IP 或 IP 范围到 IP 的连接应用特定的规则。但是，当涉及两台服务器时，安全性规定它始终必须是防火墙中的 IP 到 IP 规则。

题

（基于屏幕截图进一步向下）

当 Reporting …

当我使用该网站的 IP 地址访问具有 Cloudflare 的网站时，我收到以下消息：

Error 1003
Direct IP access not allowed


What happened?

You've requested an IP address that is part of the Cloudflare network.
A valid Host header must be supplied to reach the desired website.

我是一名学生。

1. 什么允许 Cloudflare 阻止直接 IP 地址访问？
2. DNS不是IP地址之上的一层吗？如果是，Cloudflare 是一项 DNS 服务，为什么 Cloudflare 具有阻止 IP 地址的能力？