1.
准备与获取原生 IP(下单与资料确认)
步骤小分段:1) 选择供应商:优先选择提供“Dedicated IPv4 / Native IP”且支持越南机房或越南出口的 VPS 供应商;2) 下单时填写正确的联络信息与反向 DNS(PTR)需求以便后续设置;3) 获取供应商提供的网络信息:IP 地址、子网掩码(或前缀)、网关、DNS、是否需要 ARP 绑定或 MAC 绑定;4) 若需额外二级 IP,申请时明确“secondary IP / additional IP”。
2.
在 Ubuntu(netplan)上配置静态原生 IP
步骤小分段:适用于 Ubuntu 18.04+;1) 编辑 /etc/netplan/01-netcfg.yaml(或类似文件);示例配置:network: {version: 2, ethernets: {ens3: {addresses: [ "203.0.113.5/24" ], gateway4: "203.0.113.1", nameservers: {addresses: ["8.8.8.8","1.1.1.1"]}}}};2) 保存后执行 sudo netplan try(测试 120s 后应用)或 sudo netplan apply;3) 检查 ip addr show ens3 与 ip route show;4) 如供应商要求 ARP 绑定,在控制面板绑定 MAC 或联系支持。
3.
在 Debian/Ubuntu(ifupdown)上配置 /etc/network/interfaces
步骤小分段:适用于传统 ifupdown 系统;1) 编辑 /etc/network/interfaces,添加:auto ens3\niface ens3 inet static\n address 203.0.113.5\n netmask 255.255.255.0\n gateway 203.0.113.1\n dns-nameservers 8.8.8.8 1.1.1.1;2) 重启网络:sudo ifdown ens3 && sudo ifup ens3(远程执行前先开第二通道或 screen);3) 验证连通性:ping 8.8.8.8 与 traceroute。
4.
路由与 ARP 调优(避免 IP 漂移与冲突)
步骤小分段:1) 设置 ARP 行为,编辑 /etc/sysctl.conf 或 /etc/sysctl.d/99-custom.conf,添加:net.ipv4.conf.all.arp_ignore=1\nnet.ipv4.conf.default.arp_ignore=1\nnet.ipv4.conf.all.arp_announce=2\nnet.ipv4.conf.default.arp_announce=2,然后 sudo sysctl -p;2) 如果做 IP 绑定或多 IP 转发,启用 ip_forward:net.ipv4.ip_forward=1;3) 若需更复杂的路由(多网段或 policy routing),使用 ip route add 与 ip rule 配置表格。
5.
SSH 与系统访问加固(必做)
步骤小分段:1) 关闭密码登录:编辑 /etc/ssh/sshd_config,设置 PasswordAuthentication no、PermitRootLogin no、UseDNS no、Port 22(可修改);2) 部署公钥认证:在本地生成密钥 ssh-keygen,然后将公钥追加到服务器 ~/.ssh/authorized_keys,权限设置 ~/.ssh 700、authorized_keys 600;3) 重启 SSH:sudo systemctl restart sshd;4) 建议使用 Fail2Ban(sudo apt install fail2ban),创建 /etc/fail2ban/jail.d/sshd.local 防爆破规则并启用。
6.
防火墙、iptables/nftables 与速率限制
步骤小分段:1) 简单优先:启用 UFW(sudo apt install ufw),默认 deny incoming, allow outgoing,允许必要端口:sudo ufw allow 22/tcp、sudo ufw allow 80,443/tcp,然后 sudo ufw enable;2) 复杂规则用 iptables 或 nftables:示例 iptables 基本策略:iptables -P INPUT DROP; iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT; iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT;3) 使用 ipset 黑名单大批量阻断可疑 IP;4) 配置 syn flood 防护:sysctl net.ipv4.tcp_syncookies=1。
7.
系统与内核安全加固、自动更新
步骤小分段:1) 内核网络硬化:在 sysctl 中设置 net.ipv4.conf.all.rp_filter=1、net.ipv4.icmp_echo_ignore_broadcasts=1、net.ipv4.conf.all.accept_source_route=0、net.ipv4.conf.all.accept_redirects=0;2) 安装并开启 unattended-upgrades:sudo apt install unattended-upgrades apt-listchanges,配置 /etc/apt/apt.conf.d/50unattended-upgrades;3) 定期备份与快照:配置自动快照策略并把重要配置(/etc/ssh, /etc/netplan, /etc/iptables)存入版本控制或安全远端存储。
8.
日志、IDS/IPS 与监控(入侵发现与响应)
步骤小分段:1) 部署 Fail2Ban、PSAD 或 Suricata 进行流量/日志检测;2) 配置集中化日志(rsyslog -> ELK/Graylog)便于审计;3) 设置监控(Prometheus + Node Exporter / Zabbix)与告警(邮件/Slack);4) 定期查看 auth.log、ufw.log 与内核日志,发现可疑登录或端口扫描立即封禁并溯源。
9.
Q1:如何确认我的越南 VPS 真的是“原生 IP”而非 NAT/共享出口?
问:如何确认我的越南 VPS 真的是“原生 IP”而非 NAT/共享出口? 答:首先在 VPS 控制面板与合同中查看是否写明“Dedicated IPv4/Native IP”;其次在服务器上执行 curl ifconfig.co 与 traceroute 到公网节点,若首次跳点即为你的提供商网关且 IP 与面板一致通常为原生;再者可请供应商做 ARP/MAC 绑定或提供 BGP/独立路由信息以最终确认。
10.
Q2:如果网络不通或路由丢失,我应如何排查?
问:如果网络不通或路由丢失,我应如何排查? 答:排查步骤:1) 检查本机 ip addr 与 ip route;2) ping 网关与外部 IP(如 8.8.8.8);3) traceroute 看中断在哪一跳;4) 检查 ARP 表 arp -n 与 dmesg 看是否有网卡/驱动错误;5) 若控制面板有重置网卡或重新绑定 MAC 的选项,按供应商指南操作并联系支持。
11.
Q3:部署上生产后还有哪些长期维护建议?
问:部署上生产后还有哪些长期维护建议? 答:持续建议:启用自动安全更新、定期审计 SSH/防火墙规则、监控流量与登录日志、保持快照与备份策略、定期做漏洞扫描(如 Nessus/ OpenVAS)、并与供应商保持沟通以获取网络事件通知。
来源:面向开发者的越南vps原生ip接入与安全加固操作指南