开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

linux域名白名单实现仅能访问指定网站

基础概念

Linux域名白名单是一种网络安全机制，通过配置系统或网络设备，限制用户只能访问预先设定的特定域名列表中的网站。这种机制可以有效防止用户访问未经授权的网站，提高系统的安全性和可控性。

相关优势

安全性：通过限制访问范围，减少潜在的安全风险。
可控性：管理员可以精确控制用户的网络访问行为。
合规性：满足某些行业或组织的网络访问政策要求。

类型

DNS白名单：通过配置DNS服务器，只解析允许的域名。
防火墙白名单：通过配置防火墙规则，只允许访问特定的IP地址或域名。
代理服务器白名单：通过配置代理服务器，只允许访问代理服务器中预设的网站。

应用场景

企业内部网络：限制员工只能访问工作相关的网站，提高工作效率。
教育机构：防止学生访问不适宜的网站，保护学生身心健康。
政府机构：确保敏感信息不被泄露，符合信息安全政策。

实现方法

DNS白名单

安装DNS服务器：例如使用BIND。
配置DNS服务器：

# 编辑DNS配置文件 /etc/named.conf
zone "example.com" IN {
    type master;
    file "/etc/named/zones/db.example.com";
};

# 编辑区域文件 /etc/named/zones/db.example.com
$TTL 86400
@       IN      SOA     ns1.example.com. admin.example.com. (
                        2023010101 ; serial
                        3600       ; refresh
                        1800       ; retry
                        604800     ; expire
                        86400      ; minimum
                )
        IN      NS      ns1.example.com.
        IN      NS      ns2.example.com.

example.com.    IN      A       192.168.1.1
www.example.com.    IN      A       192.168.1.1

重启DNS服务器：

sudo systemctl restart named

防火墙白名单

安装防火墙工具：例如使用iptables。
配置防火墙规则：

# 允许访问特定域名
iptables -A INPUT -p tcp --dport 80 -m string --string "example.com" --algo bm -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m string --string "example.com" --algo bm -j ACCEPT

# 拒绝其他所有访问
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP

保存防火墙规则：

sudo iptables-save > /etc/iptables/rules.v4

常见问题及解决方法

问题：配置后仍能访问非白名单网站

原因：可能是DNS缓存或防火墙规则未生效。

解决方法：

清除DNS缓存：

sudo systemd-resolve --flush-caches

检查防火墙规则：

sudo iptables -L -v -n

确保规则已正确添加并生效。

问题：访问白名单网站速度慢

原因：可能是DNS解析慢或网络带宽不足。

解决方法：

优化DNS解析：使用本地DNS缓存服务器，如dnsmasq。
增加网络带宽：升级网络设备或联系网络服务提供商。

参考链接

通过以上方法，你可以实现Linux域名白名单，确保系统只能访问指定的网站，提高系统的安全性和可控性。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Android下基于Iptables的一种app网络访问控制方案（一）[通俗易懂]

百度百科对于Iptables有详细的介绍。简单地说，Iptables是Linux内核提供的一套IP信息包过滤系统，对外由Iptables命令提供设置过滤规则的入口。

02

Nginx设置图片防盗链（白名单与黑名单）

某些时候可能您会发现，别人网站直接将您的网站图片拿过去使用，导致额外消耗服务器流量和带宽，如果本身服务器带宽和流量就比较小，被人盗链后势必会造成一定影响。这篇文章分享下如何通过Nginx来设置防盗链，禁止其它网站盗用图片。

01

屏蔽国外IP访问的几种常用方法

网站的客户和受众人群都是国内的，不想让国外访问；或者站长监测到国外肉鸡一直有扫描或攻击。这时就需要对境外IP进行进行过滤和屏蔽；对IP进行过滤屏蔽一般有两种方法：加白和加黑。

08

如何避免CDN域名被恶意攻击导致高额账单

众多个人开发者与企业运用内容分发网络（CDN）技术以优化业务流程，增强服务的可用性。然而，市面上的CDN产品普遍采用流量或带宽作为计费标准。在遭受攻击时，攻击者可能会发起大量请求，进而消耗大量的流量或带宽资源，导致产生的费用远超日常消费水平。绝大多数云服务提供商对于由恶意攻击或流量盗刷导致的高额费用是无法免除或退款的。因此，有必要尽力规避此类风险。

06

CDN的那些事

前段时间，群友的cdn被刷爆了，这就引起了我的恐慌，我大概接入了3个域名和一个cos，要刷的话，可能会倾家荡产，国内的cdn比较便宜但是没有防护，国外的就比较贵，节点少，开了等于没开，但是他们是有防护的，盗刷应该不会这么严重，腾讯云其实也有一个类似的功能产品，scdn，有个问题，太贵啦，当时年少不懂事，测试给我花了30块，应该可以想象价格的高昂了吧。这次针对cdn的某些设置进行了一点点的优化，至少在你的网站被cc或者ddos时，自动关闭cdn，避免高昂的费用。

03

腾讯云COS设置防盗链

为了避免恶意程序使用资源 URL 盗刷公网流量或使用恶意手法盗用资源，给用户带来不必要的损失。腾讯云对象存储支持防盗链配置，建议您通过控制台的防盗链设置配置黑/白名单，来进行安全防护。

02

CDN的那些事

前段时间，群友的cdn被刷爆了，这就引起了我的恐慌，我大概接入了3个域名和一个cos，要刷的话，可能会倾家荡产，国内的cdn比较便宜但是没有防护，国外的就比较贵，节点少，开了等于没开，但是他们是有防护的，盗刷应该不会这么严重，腾讯云其实也有一个类似的功能产品，scdn，有个问题，太贵啦，当时年少不懂事，测试给我花了30块，应该可以想象价格的高昂了吧。这次针对cdn的某些设置进行了一点点的优化，至少在你的网站被cc或者ddos时，自动关闭cdn，避免高昂的费用。

00

基于域名的恶意网站检测

参考两篇论文中对域名数据特征的选择, 可以分为两个方面, 一方面是词法特征, 另一个方面是网络属性, 以下先对所有的属性进行汇总:

02

用iptable防止ddos「建议收藏」

大家好，又见面了，我是你们的朋友全栈君。DDoS deflate是一款Linux/centos减轻/防止ddos攻击的一个小程序，相当于软件防火墙。注意，此程序仅仅能抵御较低流量的攻击，大流量攻击连用了上百台高档服务器做了负载均衡的新浪都扛不住，何况一个小小的普通服务器或vps。对此程序不要期望过高。这里仅仅介绍一下，对于一些简单的软件攻击可能还有点作用。

01

配置防盗链，访问控制Directory，访问控制FilesMatch

防盗链能限制不认识的referer的访问，能够禁止别人的服务器引用或转发我服务器上的内容，这样可以防止别人盗用我服务器上的资源，服务器的资源被盗用会导致网络带宽的使用量上升。

01

【云安全最佳实践】几分钟实现对恶意IP地址进行拦截，腾讯云Web应用防火墙实在太香了！

在平时上网中，我们经常听到“xxx被拉入黑名单”、“把xxx加入白名单”，黑白名单成了禁止访问和允许访问的代名词，黑白名单是一种常见的安全机制，用于隔离流量，然后对隔离的流量采取特定操作。

几分钟实现对恶意IP地址进行拦截，腾讯云Web防火墙实在太香了！

来源：网络技术联盟站链接：https://www.wljslmz.cn/19806.html

02

分享几个绕过URL跳转限制的思路

大家对URL任意跳转都肯定了解，也知道他的危害，这里我就不细说了，过~ 大家遇到的肯定都是很多基于这样的跳转格式 http://www.xxx.xxx/xxx?xxx=http://www.

06

关于钓鱼邮件的学习笔记

所以事前我们需要准备一个钓鱼网站，为了能让钓鱼网站在公网访问，还需要一个VPS，若想获得更好的伪装效果，还需要一个用于伪装的域名。VPS和域名都到手后，还可以搭建属于自己的邮服用于SMTPRelay。使用恶意附件的话，还需要准备一个恶意样本，能做免杀的话就更好了，接收shell的话，同样需要一个VPS。

01

网络世界里的资源「盗与防盗」的爱恨情仇

腾讯云对象存储支持防盗链配置，用户可以对存储桶设置防盗链功能，该功能可以实现对访问来源设置黑、白名单，避免资源被盗用。这篇文章主要介绍了Referer原理与防盗链实现方法以及为存储桶配置防盗链，可防止资源被盗用。

02

让木马病毒DNS数据传输成为历史：看我如何让XShell病毒失效

基础词汇解释： DnsA记录传输：利用dns解析过程，在请求解析的域名中包含需外传的数据，如xxxxxx.hack.com。则最终hack.com的dns服务器会收到xxxxx这个数据回传。 dns的txt类型回包：一般指为某个主机名或域名设置的说明，可被黑客利用回传数据。终端请求某恶意域名的dns解析，dns返回txt记录，包含黑客需要的回传内容，如模块更新数据、指令等概述：随着越来越多的公司安全意识提高，大量公司已封锁socket通信，仅允许员工通过http/https协议外网，同时采取了越来越

07

让木马 DNS 数据传输成为历史：看我怎么让 xshell 病毒失效

00

对象存储COS-防盗刷指引

近年来，越来越多的用户在搭建网站或图床时将图片视频等资源上传到对象存储COS，提升了访问稳定性的同时降低了服务器的存储空间压力，但随之而来的流量盗刷、图片盗链问题也困扰着不少开发者，一旦存储空间被恶意访问，会产生高额的流量费用，产生不必要的纠纷。这类问题实际上可以通过多种手段来防护，本文将主要介绍一些常见的防护手段，帮助开发者合理配置存储桶，建立安全机制，降低因类似问题带来的大额资金损失的风险。

03

用cloudflare搭建免费的个人短链接平台

短链接又称短网址、短码，意思就是形式上比较短的网址。短链接服务，可以通过将一个普通的冗长的网址缩短生成一个新的较短的网址，便于分享传播。

03

Kong入门学习实践(9)安全防护插件

Kong的一大特色就在于强大的可扩展性，具体实现方式就是插件。一来Kong已经提供了很多内置的插件，二来我们也可以使用Lua语言自定义开发插件。今天，我们就来了解一些常用的安全防护插件。

03

另类追踪之——被“策反”的安全机制

Web安全一直是互联网用户非常关心的话题，无论是国际互联网组织还是浏览器厂商，都在尽力使用各种策略和限制来保障用户的信息安全。然而，这种好的出发点，却极可能被心怀不轨的人利用（即被“策反”），来对用户进行追踪，带来更多的隐私泄露问题和其他的安全隐患。一、首先，介绍两个安全机制（1）HTTP严格传输安全HSTS HSTS(HTTP Strict Transport Security)[1]，是国际互联网工程组织正在推行的Web安全协议，其作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接，用来抵

08

更换掉jsdelivr，改用腾讯云静态网站托管，网站速度比之前提升了不少

20号中午打包外卖到寝室，打开浏览器访问一下自己的博客，突然发现自己网站静态文件都丢失了

03

nginx怎么应对他人把域名解析到你的网站

有时候，人们可能会将他们自己的域名解析到你的网站上。这可能是由于以下一些原因：

04

网站CDN改为腾讯云及遇到的问题解决

也算是一波三折吧，一开始使用的百度云加速，提供免费流量，可以白嫖的，然后突然域名被封，说是流量过大。

02

【微服务】144：跨域问题及其解决方法

其实第③种方式直接使用网关域名访问也是可以的，在前天使用nginx时配置了网关域名。

01

网络世界里的资源「盗与防盗」的爱恨情仇

腾讯云对象存储支持防盗链配置，用户可以对存储桶设置防盗链功能，该功能可以实现对访问来源设置黑、白名单，避免资源被盗用。本文为您详细介绍如何为存储桶配置防盗链，防止资源被盗用。

02

【玩转Lighthouse】基于宝塔面板API一键迁移LNMP网站业务

宝塔 Linux 面板（BT-Panel）是一款简单好用的服务器运维面板，支持一键部署 LAMP、LNMP、集群、监控、网站、FTP、数据库、JAVA 等100多项服务器管理功能，能够极大提升运维管理效率。本文档介绍如何使用宝塔 Linux 面板快速迁移其他云平台的云服务器中的网站数据至腾讯云轻量应用服务器中。

05

【最佳实践】巡检项：内容分发网络（CDN）开启URL鉴权

一般情况下，在 CDN 上分发的内容默认为公开资源，用户拿到 URL 后均可进行访问，如果不进行任何形式的鉴权，就可能会被非法站点恶意盗刷盗用，产生损失。我们特别推荐相关盗刷敏感的业务一定开启url鉴权，防止非法网站盗用。

03

基于Caddy实现的C2前置代理 - RedCaddy

1、首先的话，我们就不手撸一个http服务作为核心了（作者也没那本事），我们可以选中已有的开源http服务作为核心，这里选中了caddy作为核心，主要是配置挺方便，性能也高

02

cdn+cos完美结合

所以从流量的费用上来计算，最理想的状态（cdn缓存住所有数据，cos数据不进行更新），每GB可以节省0.29元。当然，这只是极特殊情况；那么看下最坏的情况，cdn侧数据完全不缓存，通过cdn分发cos侧数据流量费用为：0.21（cdn访问流量）+0.15（cdn回源cos流量）=0.36元/GB，每GB也要节省0.14元。

05

【愚公系列】2022年01月 Django商城项目05-静态资源文件配置和域名配置和跨域问题

在所有需要访问后端接口的前端页面中都引入host.js，使用host变量即可指代后端域名

01

【安全研究】Domain fronting域名前置网络攻击技术

Domain Fronting基于HTTPS通用规避技术，也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit，Cobalt Strike等团队控制服务器流量，以此来一定程度绕过检查器或防火墙检测的技术，如Amazon ,Google，Akamai 等大型厂商会提供一些域前端技术服务。

02

利用Domain Borrowing对抗流量检测设备

Domain Borrowing是腾讯安全玄武实验室的安全研究员 Tianze Ding 和 Junyu Zhou 在Black Hat Asia 2021演讲中分享介绍的一种使用 CDN 隐藏 C2 流量以规避审查的新方法。借用在某些 CDN 实现中发现的一些技巧，将它们链接在一起以“借用”域及其有效的 HTTPS 证书来隐藏我们的 C2 流量，特别是当我们的 C2 流量的 SNI 和 HOST 相同时。

02

验证邮箱或者找回密码的时候收不到邮件是怎么回事？

不知道从什么时候开始，有网友反馈本站系统发送出去的验证邮件收取不到，无法完成邮箱的验证和密码找回功能，其实，真的挺奇葩，之前@可风跟我说过一次，他网站的发出去的邮箱都在垃圾箱里，当时并没有重视，现在看来我也被移入到垃圾箱了么？然后我跟网友说你试试看看垃圾箱有没有，，，网友说嗯嗯，是的有，在垃圾箱！

03

说说 360 网站卫士 CDN 正确使用姿势

说起 360 网站卫士 CDN 很多站长们应该是都不陌生的！明月也一直都在推荐站长们使用 360 网站卫士，包括明月自己也一直在使用这个免费 CDN 服务。虽然明月使用和推荐这个 CDN 很久了，但明月一直没有给大家专门的讲解过，这个是真的“忘了”！其实也是因为 360 网站卫士的设置和部署都很简单，这点儿也是蛮符合 360 一贯的产品设计风格的。

02

【Pikachu】File Inclusion(文件包含漏洞)

文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。

03

通过hosts文件修改本地域名映射

hosts是一个没有扩展名的系统文件，windows系统里位置在 C:\Windows\System32\drivers\etc，macOS/Linux/iOS/Android位置在 /etc/hosts，其作用就是将一些常用的网址域名与其对应的IP地址建立一个映射关系。

03

跨域资源共享CORS漏洞

跨域资源共享(CORS)是一种放宽同源策略的机制，它允许浏览器向跨源服务器，发出 XMLHttpRequest 请求，从而克服了 AJAX 只能同源使用的限制，以使不同的网站可以跨域获取数据，目前已经被绝大多数浏览器支持，并被主流网站广泛部署使用。跨域资源共享 CORS 漏洞主要是由于程序员配置不当，对于 Origin 源校验不严格，从而造成跨域问题，攻击者可以利用 CORS 错误配置漏洞，从恶意网站跨域读取受害网站的敏感信息。

06

便捷自动的访问Google 开发者资源网站

Google IO 2016年的大会在北京召开的时候，Google公布了一批Google中国的开发者资源网站，方便中国的开发者访问以及进行软件网站等开发，为了纪念这一里程碑的事件，我还写了一篇文章来介绍Google的这个中国开发者资源网站，可以参见Google Developers 中国网站发布。

03

一文彻底搞懂安卓WebView白名单校验

近两年公司端侧发现的漏洞很大一部分都出在WebView白名单上，针对这类漏洞安全编码团队也组织过多次培训，但是这种漏洞还是屡见不鲜。下面本人就结合产品中容易出现问题的地方，用实例的方式来总结一下如何正确使用WebView白名单，给开发的兄弟们作为参考。

04

使用MikroTik产品-解决NS游戏联机问题②

在上一次我们聊了基础的网络配置已经可以正常上网了，但在日常使用中你可能还会遇到以下几个问题：

01

常见的web安全问题总结

we安全对于web前端从事人员也是一个特别重要的一个知识点，也是面试的时候，面试官经常问的安全前端问题。掌握一些web安全知识，提供安全防范意识，今天就会从几个方面说起前端web攻击和防御的常用手段

02

用cloudflare搭建免费的个人短链接平台

短链接又称短网址、短码，意思就是形式上比较短的网址。短链接服务，可以通过将一个普通的冗长的网址缩短生成一个新的较短的网址，便于分享传播。

02

linux学习第四十六篇：Nginx防盗链，Nginx访问控制，Nginx解析php相关配置，Nginx代理

Nginx防盗链 vim /usr/local/nginx/conf/vhost/test.com.conf 配置如下，可以和上面的配置结合起来： location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ { expires 7d; valid_referers none blocked server_names *.test.com ; //定义白名单 if ($invalid_re

05

AppNode面板搭建网站，CC攻击防护机制说明

CC（Challenge Collapsar）攻击者会利用一个或多个 IP （通过代理服务器或肉鸡）向您的网站频繁发起请求，直到服务器资源耗尽，甚至宕机崩溃。

08

Web Security 之 CORS

在本节中，我们将解释什么是跨域资源共享（CORS），并描述一些基于 CORS 的常见攻击示例，以及讨论如何防御这些攻击。

01

搭建自用随机图片API，隐藏真实图片地址

利用PHP搭建一个属于自己的随机图片API方便调用，同时可隐藏真实图片地址，注意：图片必须存储在PHP服务器上。

02

面试中常见的的 web 安全问题

安全涉及的领域很大，我也仅仅是了解一些皮毛，每次面试前都要找资料复习，很麻烦。

01

腾讯云存储最佳实践系列二：对象存储中配置自定义域名支持 HTTPS 访问

01

[第17期] 熟悉面试中常见的的 web 安全问题

安全涉及的领域很大，我也仅仅是了解一些皮毛，每次面试前都要找资料复习，很麻烦。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭