禁止他人扫描青龙端口

虽然青龙自身限制了试错频率，爆破成功的几率不大，但是看到后台有人试图登录的信息还是心里不爽。

这里介绍使用IPTABLES保护你的青龙端口。

方案一：禁止特定IP访问，用于看到谁扫就禁谁

iptables -I DOCKER-USER -s 被禁止访问的IP -p tcp -m conntrack --ctorigdstport 5700 --ctdir ORIGINAL -j DROP

方案二：禁止所有IP访问，同时开放自己的IP访问

第一步：禁所有

iptables -I DOCKER-USER -p tcp -m conntrack --ctorigdstport 5700 --ctdir ORIGINAL -j DROP

第二步：放行自己的IP（段）

iptables -I DOCKER-USER -s 1.1.1.1/32 -p tcp -m conntrack --ctorigdstport 5700 --ctdir ORIGINAL -j ACCEPT
iptables -I DOCKER-USER -s 2.2.2.2/16 -p tcp -m conntrack --ctorigdstport 5700 --ctdir ORIGINAL -j ACCEPT

上面2行代码给自己开放了一个IP：1.1.1.1，第二行代码给自己开放了一个IP段：2.2.0.0-2.2.255.255

如果你是固定IP上网，仅需要第一行代码即可。如果你IP不固定，但同一地区一般前几位IP变化不大，观察一下自己的动态IP变化范围，然后加进几个放行的IP段即可。

提醒：采用方案二的话，如果自己突然打不开青龙了，不要怀疑青龙或者服务器故障，先看看自己的IP是不是变了超出了放行范围，是的话把新IP段加进去。

一定要先执行禁止命令，再执行放行命令，否则放行命令不会生效。

iptables规则添加完后，记得保存规则，否则重启就没了。

我用的centos系统保存规则命令是service iptables save，其他系统自行研究吧。