【小白教程】RFC PO0 屏蔽海外IP连接教程

背景说明

• 近期，RFC 家推出的 PO0 机型热度持续攀升，已成为MJJ关注的焦点产品之一。但相较于传统 VPS，该机型在配置、使用及运维方面具有更高的上手门槛。同时，已有部分用户因配置不当导致被通报甚至产生较大损失，因此有必要整理一份针对性的使用与安全建议。

特殊场景

国内服务器使用注意事项

• 在国内机器环境中，需重点关注高风险协议的访问与暴露情况。若未做有效限制，可能因流量特征明显而被识别，从而触发通报机制。

复杂业务场景（合租 / 转发 / 服务提供）

• 对于多人合租、流量转发或作为服务提供节点的场景，应建立明确的使用规范与访问控制策略，避免异常行为带来的整体风险。

已知高风险协议

• 当前已确认存在较高识别风险的协议包括但不限于：
• HTTP HTTPS TLS SOCKS5
• 建议根据实际业务需求，对上述协议进行严格限制、审计或必要的封禁处理。

屏蔽协议配置与启动

采用开源项目opengfw进行高危协议阻断。

• 1、下载Opengfw执行文件（因原作者已经删库，故使用fork版本）

https://github.com/ruaue/OpenGFW/releases/download/v0.3.2/OpenGFW-linux-amd64

• 2、添加Opengfw配置文件config.yaml

io:
  queueSize: 1024
  rcvBuf: 4194304
  sndBuf: 4194304
  local: false # 如果需要在 FORWARD 链上运行 OpenGFW，请设置为 false

workers:
  count: 4
  queueSize: 16
  tcpMaxBufferedPagesTotal: 4096
  tcpMaxBufferedPagesPerConn: 64
  udpMaxStreams: 4096

# 指定的 geoip/geosite 档案路径
# 如果未设置，将自动从 https://github.com/Loyalsoldier/v2ray-rules-dat 下载
# geo:
#   geoip: geoip.dat
#   geosite: geosite.dat

• 3、添加屏蔽规则文件 rules.yaml（示例只屏蔽了https,http,tls,socks5，其他协议请自行ai进行补充）

- name: SNI mismatch
  action: block
  expr: tls?.req?.sni != nil && ip.dst not in concat(lookup(tls.req.sni), lookup(tls.req.sni, "1.1.1.1:53"), lookup(tls.req.sni, "8.8.8.8:53"))
- name: block wireguard by handshake response
  action: drop
  expr: wireguard?.handshake_response?.receiver_index_matched == true
- name: Block-Other-HTTP
  action: block
  expr: http != nil
- name: Block-Other-TLS
  action: block
  expr: tls != nil
- name: Block-SOCKS5
  action: block
  expr: socks != nil

• 4、上传指定目录（示例目录为/usr/local/opengfw）

/usr/local/opengfw

注意：需要把执行文件，配置文件，规则文件放到同级目录里。也就是/usr/local/opengfw下。

• 5、配置开启机启动

cd /etc/systemd/system/
nano opengfw.service

• 6、配置启动文件

[Unit]
Description=OpenGFW - Open-source GFW implementation
After=network.target

[Service]
Type=simple
User=root
WorkingDirectory=/usr/local/opengfw
ExecStart=/usr/local/opengfw/OpenGFW -c /usr/local/opengfw/config.yaml /usr/local/opengfw/rules.yaml
Restart=always
RestartSec=10
StandardOutput=journal
StandardError=journal

# 资源限制
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

• 7、设置成开机自启

systemctl daemon-reload
systemctl enable opengfw.service
systemctl restart opengfw.service

阻断国外IP连接

这块可根据自身业务配置，如果有需要可继续阅读，如果不需要直接跳过。

• 1、本地下载IP库

http://www.ipdeny.com/ipblocks/data/countries/cn.zone

• 2、上传IP库文件

/root/cn.zone

• 3、创建ipset规则

ipset create cnip hash:net maxelem 1000000

• 4、导入IP库数据

for i in $(cat /root/cn.zone); do
    ipset add cnip $i
done

• 5、添加iptables规则

# 清空规则（此操作会把已有规则清空，根据自己业务需求来）
iptables -F INPUT
# 1. 允许已建立连接
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# 2. 允许本地回环
iptables -A INPUT -i lo -j ACCEPT
# 3. 允许管理IP
iptables -A INPUT -s PO0机器IP -j ACCEPT
# 4. 允许中国IP
iptables -A INPUT -m set --match-set cnip src -j ACCEPT
# 5. 允许SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 6. 默认拒绝
iptables -P INPUT DROP

• 6、持久化与恢复配置

ipset save > /etc/ipset.conf

ipset restore < /etc/ipset.conf