1. 部署前的准备与信息采集
1.1 获取并记录供应商提供的信息:公网 IPv4/IPv6、网关、子网掩码、DNS、MAC 绑定(如有)、是否有反向 DNS(PTR)、是否需要申请 BGP。
1.2 确认服务器操作系统(Ubuntu/CentOS)与内核版本,检查是否支持所需网络驱动与 MTU(例如 1500 或 9000)。命令示例:uname -r; lspci | grep -i eth
1.3 准备远程控制通道(KVM/iLO/IPMI)以防网络配置错误导致无法远程访问。
2. 基本网络接口配置(静态 IP)
2.1 Ubuntu(netplan)示例:在 /etc/netplan/01-netcfg.yaml 中写入(替换为真实 IP):
network: { version: 2, renderer: networkd, ethernets: { eth0: { addresses: [ "203.0.113.10/24" ], gateway4: "203.0.113.1", nameservers: { addresses: ["1.1.1.1","8.8.8.8"] } } } }
2.2 CentOS(ifcfg)示例:编辑 /etc/sysconfig/network-scripts/ifcfg-eth0,设置 IPADDR、NETMASK、GATEWAY、DNS1,然后 systemctl restart network 或 nmcli connection reload。
3. MTU 与路径 MTU(PMTUD)调整
3.1 测试 MTU:ping -c 3 -M do -s 1472 8.8.8.8(1472+28=1500)。若失败逐步降低到成功值,记录最合适 MTU。
3.2 设置 MTU:ip link set dev eth0 mtu 9000(或在 netplan/ifcfg 中永久设置)。KT 网络对大 MTU 有时需要运营商支持,发生丢包时恢复 1500。
4. 路由、NAT 与多网卡策略路由
4.1 简单默认路由:ip route add default via 203.0.113.1 dev eth0 metric 100
4.2 多网卡或多线接入时用策略路由(ip rule/ip route)为不同源 IP 指定不同出口。例如:ip rule add from 198.51.100.10 table 200;ip route add default via 198.51.100.1 table 200。
4.3 NAT(若用于内网出站):iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE(或使用 nftables)。启用 ip_forward:sysctl -w net.ipv4.ip_forward=1 并写入 /etc/sysctl.conf。
5. 防火墙与访问控制(实操示例)
5.1 建议使用 nftables 或 ufw 进行初级规则管理,复杂场景使用 iptables/nftables 脚本并放到启动脚本中。
5.2 最小化规则示例(iptables):
iptables -F; iptables -P INPUT DROP; iptables -P FORWARD DROP; iptables -P OUTPUT ACCEPT; iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT; iptables -A INPUT -p tcp --dport 22 -s 你的管理IP -j ACCEPT; iptables -A INPUT -p icmp -j ACCEPT; iptables -A INPUT -i lo -j ACCEPT
5.3 保存规则:Ubuntu 保存为 /etc/iptables.rules 并在 /etc/rc.local 恢复,或使用 iptables-persistent。
6. SSH 加固与远程管理
6.1 修改 /etc/ssh/sshd_config:禁止 root 直接登录 PermitRootLogin no,限制登录用户 AllowUsers adminuser,使用协议 2,关闭密码认证 PasswordAuthentication no(配合密钥)。
6.2 更换默认端口并重启 SSH:如 Port 22022。记住防火墙需放通新端口。
6.3 部署 fail2ban:apt install fail2ban 或 yum install fail2ban,配置 /etc/fail2ban/jail.local 针对 sshd 设置 ban 时间与阈值。
7. VPN、远程访问与管理网络分段
7.1 若需安全管理面板,建议部署 WireGuard 或 OpenVPN,示例 WireGuard 快速部署:apt install wireguard; wg genkey | tee privatekey | wg pubkey > publickey; 配置 /etc/wireguard/wg0.conf 并启用。
7.2 将管理流量放在专用 VLAN 或 VPN,生产流量与管理流量分离,防止一处被攻破导致全面暴露。
8. 日志、监控与 DDoS 抵御
8.1 本地日志轮转:确保 rsyslog 与 logrotate 正常工作,配置 /etc/logrotate.d/ 定期归档。
8.2 远程日志与监控:将日志发到集中日志服务器(syslog/ELK/Graylog),部署 Prometheus + Grafana 监控网络、CPU、连接数、带宽。
8.3 DDoS:与 KT 协商上游清洗服务或使用云端 CDS;同时在服务器上限制 syn 队列、开启 conntrack 限制与速率限制(iptables -m limit/ufw 限速)。
9. 系统与服务硬化、更新与备份
9.1 自动更新与补丁:启用 unattended-upgrades(Ubuntu)或订阅安全更新(CentOS)。定期检查内核/服务补丁。
9.2 备份:配置定期远程备份(rsync/sftp/备份到对象存储),测试恢复流程。
9.3 最小化服务暴露,关闭不必要的端口:ss -tulpen 检查监听服务并移除不必要应用。
10. 部署后验证与常见排错步骤
10.1 连通性测试:从外部网络使用 traceroute/tracert、mtr、curl -I 检查路径与响应时间。
10.2 日志排错:/var/log/syslog、/var/log/auth.log、dmesg 检查驱动、ARP 问题或 MTU 导致的分片问题。
10.3 若网络无法访问,使用 IPMI/KVM 登录,回滚最近的网络配置文件或恢复 netplan/ifcfg 备份文件。
11. 问答一
问:在韩国 KT 的机房,如何确认供应商给的公网 IP 是否需要做 PTR(反向 DNS)?
答:向 KT 提供商询问是否支持 PTR 并提供你要绑定的主机名与 IP;有些托管面板可以提交 PTR 申请。测试方法:配置后使用 dig -x 203.0.113.10 +short 或 nslookup 进行验证。
12. 问答二
问:部署后发现国内访问到韩国服务器延迟高或丢包,该如何诊断?
答:先用 mtr/traceroute 定位丢包在哪一跳(本地、KT 骨干、国际链路);核实 MTU 设置、检查是否被中间防火墙限速;与 KT 支持提交链路测试并请求线路清查或 BGP 优化。
13. 问答三
问:如何在服务器上快速阻断来自某些恶意国家或 IP 段的流量?
答:可以用 ipset+iptables 批量封锁 IP 段(ipset create blacklist hash:net; ipset add blacklist 1.2.3.0/24; iptables -I INPUT -m set --match-set blacklist src -j DROP)。若流量很大应联系 KT 做上游封堵或使用清洗服务。
来源:部署有效的韩国kt服务器需注意的网络与安全配置
