FRP on Jeanphilo Bloghttps://shio-chan-dev.github.io/jeanblog/zh/tags/frp/Recent content in FRP on Jeanphilo BlogHugo -- 0.159.2zh-cnSat, 22 Nov 2025 12:00:00 +0800用 UFW + CrowdSec,彻底阻止恶意端口扫描:从 Fail2ban 踩坑到终极解决方案https://shio-chan-dev.github.io/jeanblog/zh/linux/linux/ufw-crowdsec-portscan/Sat, 22 Nov 2025 12:00:00 +0800https://shio-chan-dev.github.io/jeanblog/zh/linux/linux/ufw-crowdsec-portscan/<h1 id="-用-ufw--crowdsec彻底阻止恶意端口扫描">🛡️ 用 UFW + CrowdSec,彻底阻止恶意端口扫描</h1> <p><strong>副标题 / 摘要:</strong> 如何安全防护你的服务器暴露端口?本文带你从 Fail2ban 的正则地狱走出,构建一个稳定、自动化、智能化的端口扫描防御系统。</p> <hr> <h2 id="-目标读者">🎯 目标读者</h2> <ul> <li>使用 FRP / 内网穿透的开发者</li> <li>管理云服务器(腾讯云、阿里云、AWS 等)的运维人员</li> <li>想防御端口扫描、SSH 暴力破解的新手或中级 Linux 用户</li> <li>对 Fail2ban 感兴趣、想升级到更现代安全体系的人</li> <li>想完善服务器安全方案的个人开发者</li> </ul> <hr> <h2 id="-背景--动机为什么需要端口扫描防护">💢 背景 / 动机:为什么需要端口扫描防护?</h2> <p>在运行 FRP(frps + frpc)或开放多个端口时,你的服务器通常会遭遇:</p> <ul> <li>海量扫描:每秒多次 SYN 探测</li> <li>恶意连接尝试:get a user connection [&hellip;]</li> <li>SSH 密码爆破</li> <li>自动化脚本扫描 6001–6010、7000、22、8080 等常见端口</li> </ul> <p>传统做法存在痛点:</p> <ul> <li>防火墙(UFW)只能被动拒绝</li> <li>Fail2ban 配置复杂、依赖正则、容易误判、不支持高级行为分析</li> <li>FRPS 日志格式特殊,Fail2ban 很难匹配</li> <li>攻击会占用 frps/sshd 资源,最终导致卡顿、断流</li> </ul> <p>因此,我们需要一个<strong>无需写正则、能自动检测扫描、智能封禁恶意 IP 的现代防御体系</strong>。</p> <hr> <h2 id="-核心概念">📘 核心概念</h2> <ul> <li><strong>FRP(frps / frpc)</strong>:用于内网穿透,常暴露大量 TCP 端口(如 6001–6010),容易被扫描。</li> <li><strong>UFW(Uncomplicated Firewall)</strong>:Ubuntu 默认防火墙,但缺乏智能检测功能。</li> <li><strong>Fail2ban</strong>:传统日志匹配型封禁工具,需要手写正则,踩坑概率高。</li> <li><strong>CrowdSec(推荐)</strong>:新一代开放式入侵防御系统 (IPS),自动检测端口扫描和暴力破解,事件驱动 + 行为分析,资源消耗极低,是 Fail2ban 的现代替代。</li> </ul> <hr> <h2 id="-实践指南使用-crowdsec-自动阻止端口扫描ubuntudebian">🛠 实践指南:使用 CrowdSec 自动阻止端口扫描(Ubuntu/Debian)</h2> <h3 id="1-安装-crowdsec">1) 安装 CrowdSec</h3> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash </span></span><span style="display:flex;"><span>sudo apt install crowdsec -y </span></span></code></pre></div><h3 id="2-安装防火墙封禁组件iptables--ufw-自动配合">2) 安装防火墙封禁组件(iptables / ufw 自动配合)</h3> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>sudo apt install crowdsec-firewall-bouncer-iptables </span></span></code></pre></div><p>CrowdSec 会自动接管封禁动作。</p>