Debian 12上使用Nginx代理TCP流量,并配置IPv6白名单访问控制

发布于

 在部署基于 TCP 的应用程序(如数据库服务)时,安全性和访问控制是常见的需求之一。有时候只希望特定白名单的IPv6地址访问特定的端口。使用 Nginx 作为 TCP 代理,可以实现高效灵活的流量管理。本文记录了如何在 Debian 12 上使用 Nginx 来实现 TCP 流量代理和 IPv6 白名单控制。

准备环境

系统: Debian 12。

Nginx 版本: 确保安装的 Nginx 版本支持 stream 模块。使用 nginx -V 检查是否包含 --with-stream=dynamic。

权限: 访问和编辑配置文件通常需要 root 权限。

安装 Nginx 和 Stream 模块

如果未安装 Nginx,可以通过以下命令安装:

apt update
apt -y install nginx

接下来,安装 libnginx-mod-stream 模块以支持 TCP 和 UDP 流量代理:

apt -y install libnginx-mod-stream

Nginx 和 stream 模块安装完成后,Debian 的 Nginx一般会自动加载模块并重载Nginx。

配置 TCP 流量代理和 IPv6 白名单

编辑 Nginx 配置文件(位于 /etc/nginx/nginx.conf),在 http 模块的同级目录下添加 stream 代码块来配置 TCP 流量的转发:

stream {
    server {
        listen [::]:1234 ipv6only=on; # 仅监听特定的 IPv6 地址和端口
        allow [YOUR_IPV6_ADDRESS_HERE]; # 允许特定的 IPv6 地址
        deny all; # 拒绝其他地址

        proxy_pass 127.0.0.1:1234; # 转发至本地的 IPv4 地址和端口

        # 可选配置:设置超时等
        proxy_connect_timeout 5s;
        proxy_timeout 60s;
    }
}

请替换 [YOUR_IPV6_ADDRESS_HERE] 为你希望允许访问的特定 IPv6 地址。

重启Nginx服务让配置生效

对配置进行更改后,使用以下命令检查配置文件语法的正确性并重载 Nginx:

nginx -t
systemctl reload nginx

这样,你就可以通过使用指定ipv6的服务器,访问内网的服务了。

评论

发表评论

Popular Posts

《活法》作者:[日]稻盛和夫 pdf下载

发布于
《活法》是日本企业家稻盛和夫的代表作,原书由日本SUNMARK出版社出版,被誉为日本21世纪励志第一书。稻盛和夫是日本两家世界500强企业京瓷和KDDI的创始人,被誉为日本经营四圣之一,他是季羡林认为稀有的既是企业家又是哲学家的人物。《活法》的思想主要源自儒家和佛教,结合稻盛和夫经营的经历与感悟,形成了一个思想体系。      我们现今生活在纷乱如麻、前途未卜的“不安分的时代”。富裕却不知足,丰衣足食却礼节不周,充分享受自由却倍感闭塞。只要有干劲,就什么东西也可以得到,任何梦想也可以实现。但是社会却弥漫着颓废、悲观的氛围,甚至有人甘愿成为丑闻的主角,甚至犯罪。   为什么如此闭塞的状况充斥着整个社会?那难道不是因为很多人找不到活着的意义和价值,迷失了人生的方向吗?造成这种状况的原因,正是由于缺乏正确的人生观———恐怕不只我一个人这么想吧。   我想,对这个时代来说,最需要的就是从根本上质问“人为什么活着?”首先,人们要正视该问题,树立作为人生指南的“哲学”。所谓哲学,也可称之为“理念”或者“思想”。这是类似沙漠里撒水那样虚无或者在急流中打桩一样困难的事情。   但是,正因为我们处于鄙视劳动、纷乱浮躁的时代,我相信只有单纯且直率的质问才有更深的意义。若不能这样从根本上去尝试思考生活方式,那么,纷乱状态将愈发加深,未来将越来越混沌不清,混乱将在社会上漫布开去—-怀有如此紧迫的危机感和焦躁感的人同样应该不止我一个。我想在这本书中从正面把握人类的“人生哲学”,毫无保留地阐述我的根本思想,并从本质上再次质问活着的意义和人生应有的状态。这样,我希望能在时代的湍流中打下微小的一根木桩。各位读者,为了找到人生的乐趣,度过一个充满幸福的充实人生,我希望您能从本书获得一点启发,倘如此,我将感到无比高兴。 下载: hf_pdf.zip (PDF格式)
阅读全文

Microsoft 365安装包下载(Office桌面应用)

发布于
 Microsoft 365是微软建基于旧称Microsoft Office办公室套件的云端办公室方案,包括免费的线上Office Online、线上会议Microsoft Teams、管理信件的Outlook Web App、建立小组沟通网站的SharePoint Online等。2020年3月31日,微软宣布将会把Office 365名称改为Microsoft 365,并推出新的订阅方案,4月21日,微软正式将Office 365改名为Microsoft 365。但此次改名并不彻底,Office 365 A1/A3/E3/E5 订阅并未受此影响,这三种订阅均为教育版订阅,但现已完全更改。 Microsoft 365以收取订阅月费或年费,取代Microsoft Office 2010及以前版本的单次收费模式。借助Microsoft 365订阅计划,用户可获取完整及全套的Office应用程序:Word、Excel、PowerPoint、OneNote、Outlook、Publisher和Access(Publisher和Access仅支持PC)。可以在多种设备上(包括PC、Mac、Android平板电脑、Android手机、iPad和iPhone)安装Microsoft 365。此外,借助Microsoft 365还可获取各种适合家庭使用的服务(如OneDrive云端空间)。如果有有效Microsoft 365订阅,即可始终使用最新版本的Office应用程序。 关于如何关闭office中连接的onedrive,可以按如下操作: 文件-选项-常规-隐私设置,关闭“开启所有连接体验” 下载Microsoft 365 ProPlus: O365ProPlusRetail.img 注意:下载后需要购买Microsoft 365订阅,登录账号才可使用。
阅读全文

麦当劳免费Wifi帐号密码及连接设置

发布于
麦当劳推出了免费的wifi热点,全国通用。但是麦当劳的免费热点是隐藏wifi,需要手动添加才行。 麦当劳的wifi账号:McDonald-OC wifi密码:Ac28Idfjla92ifjsl3jsHdowIo(一定要注意大小写) 注意:帐号密码可能有时效性,如果你发现已经不对了,请不要怪责 下面来说说麦当劳免费wifi的连接设置。 电脑上连接设置,账号手动添加,密码采用的是WPA-PSK验证,数据加密是TKIP的。 手机上连接设置,账号手动添加,选用用隐藏网络,WPA/WPA2制式。 值得一提的是,麦当劳的免费wifi网络速度不慢,打开网页、看视频什么的OK,大家尽情的在麦当劳了里享受免费高速上网的乐趣吧。 link
阅读全文

MIFARE Classic Tool - 安卓NFC门禁卡修改工具

发布于
MIFARE Classic Tool是一个用于对MIFARE Classic RFID标签进行读取、写入、分析等操作的Android NFC应用程序,一般用来复制电梯卡,门禁卡等。 软件特点: 读取MIFARE Classic标签 保存,编辑和分享您读取的标签数据 写入MIFARE Classic标签(逐块) 克隆MIFARE Classic标签 (将标签的转储写入另一个标签;逐文件写入) 基于字典攻击的密钥管理 (将已知密钥写入字典文件) MCT将尝试对所有扇区使用这些密钥进行身份验证,并尽可能多地读取。请参阅章节入门。 将标签格式化为出厂/交付状态 对特殊类型的MIFARE Classic标签写入制造商块(块0) 使用外部NFC读取器,例如ACR 122U (请参阅帮助与信息获得更多信息) 创建,编辑,保存并分享密钥文件(字典) 解码和编码MIFARE Classic值块 解码和编码MIFARE Classic访问控制条件 比较转储(通过比较工具) 显示标签的一般信息 以高亮的十六进制形式查看标签数据 以7-Bit US-ASCII形式查看标签数据 以表格形式查看MIFARE Classic访问控制条件 以整数形式查看标签数据 计算BCC(Block Check Character/信息组校验码) 快速UID克隆功能 导入/导出/转换文件 内建离线的帮助与信息 它是一个免费软件(开源哦) ;) 下载: f-droid  |  github  | 官网
阅读全文

解决word和excel运行时错误:91未设置对象变量或with block变量

发布于
  打开word和excel时都会出现如下问题。    运行时错误’91’    未设置对象变量或 With block 变量)      我已找到解决办法。    解决WORD出现该问题的情况   1. 打开注册表编辑器。(开始->运行->regedit)   2. 找到 [HKEY_CURRENT_USERSoftwareMicrosoftOfficeWordAddins] 删除全部子项。   3. 再打开word 文档,没有那出现错误了。(问题解决)    解决EXCEL出现该问题的情况   打开EXCEL表,会出现"运行时错误91’,未设置对象变量或with block变量”的解决方法是:   1. 打开注册表编辑器。(开始->运行->regedit)   2. 找到 [HKEY_CURRENT_USERSoftwareMicrosoftOfficeEXCELAddins] 删除全部子项。   3. 再打开EXCEL文档,没有那出现错误了   [ via ]
阅读全文

U盾安装及检测不到U盾问题的排查方法

发布于
U盾安装 工行U盾是什么?U盾驱动程序应该怎么安装?安装好u盾驱动后是不是还要下载U盾证书?安装工商银行u盾驱动程序还应该注意什么呢?今天花30大元买了一个工行U盾,特意记录下U盾驱动程序安装方法和u盾证书的下载安装步骤,希望能帮助到大家。 U盾是中国工商银行为保护客户网上交易安全所提供的高级安全工具,u盾的外形类似于U盘,采用国家专利的客户证书Usbkey技术,是用于网上银行电子签名和数字认证的安全工具。 U盾的安装分为2个步骤,分别是U盾驱动的安装和u盾数字证书下载: 1、U盾驱动的安装方法。新购买的U盾都附有光盘,运行光盘中的autorun.exe程序,选择“个人网银客户安装”既可以自动安装了。与一般的软件安装没有什么太大的区别,最后安装完成需要重新启动计算机。 目前个人网上银行U盾的驱动主要有4种,分别是金邦达、金邦达2006、捷德和华虹。如果你的随机光盘丢失,可以到工商银行官方网站 http://www.icbc.com.cn/detail.jsp?infoid=1162950367100&infotype=CMS.STD 下载U盾驱动程序。 如果你的电脑中安装有杀毒软件或者防火墙,应允许安装程序创建各个注册表启动项和关键部位的文件创建,否则安装会失败。如果你对这些程序没有足够的把握,可以临时关掉防火墙。方便驱动程序的安装。 2、U盾数字证书的下载安装。申请U盾后,你可以委托工商银行网点柜员协助你下载个人证书信息到U盾内,也可以登录工行个人网上银行,进入“客户服务—U盾管理—U盾自助下载”,完成证书信息下载。下载前请确认U盾已连接到电脑USB接口上。 这里IE浏览器会提示ActiveX控件的下载安装,请一定允许下载并成功安装该ActiveX控件。 至此U盾驱动就全部安装结束了,在U盾的保护下你就可以进行安全的网购了。 检测不到U盾问题的排查方法 第一步:确保浏览器为IE6.0或以上版本。在浏览器“帮助”菜单中选择“关于Internet Explorer”,确认IE版本和密钥长度分别在6.0和128位以上,否则安装IE高版本或升级密钥长度。 注意:使用其它浏览器在默认设置下也可以正常使用工行网上银行,如:傲游、腾讯浏览器等,但是我们建议您最好使用IE浏览器登录网上银行。 第二步:设置IE浏览器每次访问此页时检查选项。在浏览器中依次选择“工具”-》“I
阅读全文

MD大战略2 德国闪击战 中文汉化版

发布于
《大战略 德意志电击作战》(日语:アドバンスド大戦略 ドイツ電撃作戦,下文简称为本作),是由SystemSoft Alpha设计,移植至世嘉的Mega Drive上发行,属于移植至该电视游戏机上的大战略系列第一作。并于2006年2月22日,在Playstation 2推出了复刻版。 本作于当年的《Beep! MegaDrive Magazine》杂志中评价为1991年度的模拟游戏类第一名;在该杂志的读者评分单元(BEメガ読者レース)中平均值为8.8896分。 本作采关卡式设计,每个关卡有各自不同的过关条件,玩家操纵所属部队对作战目标进行攻击或占领,达成条件后即为过关。玩家可选择为纳粹德国的部队指挥官,或其他势力(如同盟国或轴心国)的指挥官。 本作中的分为战役模式与标准模式。战役模式主要以历史中真实发生过的战役为主,游戏内并设定了大胜(即比默认条件中提早相当日期达成)、胜利(即在默认条件的日期期限内达成),与平局(即超过了默认条件的作战达成日期的最后期限)等三种情况。以大胜过关者,将会被提前分派到后期对于玩家难度较高的地图;普通过关者,会参照历史进行下一个关卡,超过期限仍未达成者,游戏会自动重新回复至该关卡最初的状态。 游戏密技 对战国状态自由变更:载入关卡地图后,依照以下顺序:按方向键的上、上、上,之后再按C键,可叫出状态表,能自由修改金额,与兵器的开发时程表等。(标准模式) 敌方投降:载入关卡地图后,在敌国思考画面时,按住C键不放,将叫出游戏选项,于选择“降伏”将可使敌方投降。(标准模式) 下级索敌:载入关卡地图后,于“索敌”选项连续按方向键右时,可以选择下级,将变成我方可见到敌方全部行动,而敌方相反。(战役模式) 操作敌国:载入关卡地图后,于选项选择“操作”,依照以下顺序:左→右→左→右→上→上→上→上方向键,会显示错误消息,但可以操作非玩家势力。(战役模式) 编辑模式:在初始菜单输入右→左,再进入标准模式。原本的“开始”指令会变成“エディタ”(编辑)。可编辑空白地图,标准模式关卡,或是标准/战役模式存档。 德国使用核兵器:武装画面想装备德国Me264的核弹时,会出现“总统命令 禁止使用核爆弹”而无法使用。可在进入武装画面后,输入左→左→左,之后就可装备核弹。 下载: 大战略2汉化版.zip 相关: 汉化发布贴  | 全地图  | 关卡攻略
阅读全文

腾讯云国内服务器重装系统并设置内网源镜像,docker内网加速镜像等

发布于
以debian 11为例,国内服务器访问debian源和docker hub源速度缓慢,为了解决这个问题,需要做一些加速镜像的设置。由于腾讯云建立了内网加速镜像,使用内网加速比网络上的一些公开镜像速度更快且更稳定一些。适合腾讯云的服务器使用。 默认从腾讯云官网重装系统后,会自动帮你设置好这些,并贴心的安排上agent。但是对于dd后的纯净系统来说,需要自己手动设置一下,记录如下: 设置内网dns 编辑 /etc/resolv.conf nameserver 183.60.83.19 nameserver 183.60.82.98 设置系统加速镜像 这里以debian 11为例。编辑 /etc/apt/sources.list deb http://mirrors.tencentyun.com/debian/ bullseye main contrib non-free deb http://mirrors.tencentyun.com/debian/ bullseye-updates main contrib non-free deb http://mirrors.tencentyun.com/debian/ bullseye-backports main contrib non-free deb http://mirrors.tencentyun.com/debian-security bullseye-security main contrib non-free 设置docker hub加速镜像 安装好docker之后,编辑 /etc/docker/daemon.json {     "registry-mirrors": [         "http://mirror.ccs.tencentyun.com"     ] } 然后执行 systemctl restart docker 使修改生效。  
阅读全文