公告|新用户必读

mlmmlm_admin · 2020 年8 月 28 日 08:17

本论坛可以用邮箱注册，建议用protonmail注册，禁止用实名制邮箱注册，禁止用qq邮箱，163邮箱注册。不要用以前使用过的用户名。

当心上传文件包含元信息！

论坛的私信不安全，一旦管理员账号被控制，私信将会暴露，请移步protonmail或xmpp。利用D-H密钥交换确保前向安全。

注册时请留意垃圾邮件(spam)，注册邮件大约10分钟后送到，请耐心等待。

(如果用gmail注册的话可能被归类到promotion里面)

3.隐私问题是最重要的问题，不要提到自己与他人的隐私。不要提到他人在互联网上的活动记录。

3.5 可能暴露身份的就是论坛成员的言论还有你的邮箱，IP地址已经做过处理。

4.就事论事，不要人身攻击。

5.论坛管理员有义务对论坛进行定期备份并且保障成员的数据安全。

如果有人问及是如何知道本站的，就说是在搜索引擎找到的。

mlmmlm_admin · 2020 年8 月 28 日 08:18

mlmmlm_admin · 2020 年8 月 28 日 08:18

mlmmlm_admin · 2020 年8 月 28 日 08:18

mlmmlm_admin · 2020 年8 月 29 日 02:32

经过数小时的努力，修复了邮件系统问题，现在邮件能发出且一般不会归类为垃圾邮件。

但是可能大概有10分钟的延迟。

mlmmlm_admin · 2020 年8 月 29 日 06:31

论坛可以上传最大40MB的文件，但是不建议这样做，因为服务器的储存空间和带宽都很宝贵。

建议使用mega.nz，不要使用百度网盘。

mlmmlm_admin · 2020 年8 月 29 日 06:31

mlmmlm_admin · 2020 年8 月 30 日 05:11

我发现大家都用protonmail注册账号这很好，protonmail数据库在瑞士，天朝警察要调查要费很大一番功夫。

邮件的问题解决了之后暴露身份最大的可能就是你上传的图片。

当心指纹，当心物体反射，当心标志性物体，当心数字水印，当心图片元信息。

mlmmlm_admin · 2020 年9 月 2 日 06:16

2020.9.2 更新：

1.禁用了邮件摘要功能
2.将“从不”设置为“站内信邮件提醒”和“收到回复邮件提醒”的默认值。意味着用户除了进行注册或重置密码外将不会收到邮件。我们的邮件资源很紧张，请用户不要修改邮件设置。

mlmmlm_admin · 2020 年9 月 5 日 12:36

我们认为一些组织具有改良主义倾向，不在推荐之列。
但是他们的文章可以作为参考，要用批判的眼光去阅读。

mlmmlm_admin · 2020 年9 月 13 日 12:25

更正：
由于本人太久没关注IRN了，忘了IRN原名叫什么了，造成了误解。给红色文献翻译（已停更）带来了不好的影响（虽然论坛根本没有多少人），下次发布公告的时必先核对。

mlmmlm_admin · 2020 年9 月 23 日 14:29

mlmmlm_admin · 2020 年9 月 26 日 06:23

2020/9/26

禁止开放注册。

mlmmlm_admin · 2020 年10 月 2 日 09:42

2020/10/2
允许开放注册
并且禁止用国内邮箱注册

mlmmlm_admin · 2020 年10 月 11 日 07:23

2020/10/11

出于安全考虑，禁用onebox
https://meta.discourse.org/t/discourse-link-previews-through-a-proxy-server/72720/4
https://meta.discourse.org/t/disable-discourse-from-crawling-links/69778/5

mlmmlm_admin · 2021 年2 月 20 日 03:26

2021/2/20

为了防止ip暴露，设cloudflare的IP为白名单。

https://www.cloudflare.com/en-gb/ips/
https://erichelgeson.github.io/blog/2014/01/18/whitelisting-cloudflare-in-nginx/
https://meta.discourse.org/t/how-to-disable-access-to-anyone-not-coming-from-a-specific-ip-address/114907/7

mlmmlm_admin · 2021 年2 月 25 日 06:22

2021/2/25
经测试，这种方法仍然暴露ip。
原因是，如果访问https://xxx.xxx.xxx.xxx:443
nginx会先出示https证书（证书上有域名），建立tls链接后再判断是否允许该ip访问，如果不允许则返回403错误，403错误是通过tls返回的。

要从iptables上禁止非ipcloudflare访问。
但是先前的尝试失败了，原因是规则没有清理干净。

mlmmlm_admin · 2021 年2 月 25 日 06:28

方法：
1.先清除原有的规则：

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X

ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X

2.设置cloudflare的IP为白名单：

# Source:
# https://www.cloudflare.com/ips
# https://support.cloudflare.com/hc/en-us/articles/200169166-How-do-I-whitelist-CloudFlare-s-IP-addresses-in-iptables-

for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done

# Avoid racking up billing/attacks
# WARNING: If you get attacked and CloudFlare drops you, your site(s) will be unreachable.
iptables -A INPUT -p tcp -m multiport --dports http,https -j DROP
ip6tables -A INPUT -p tcp -m multiport --dports http,https -j DROP

完成之后iptables -L -v将会是这样：

Chain INPUT (policy ACCEPT 3370 packets, 2459K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  any    any     131.0.72.0/22        anywhere             multiport dports http,https
  566 84264 ACCEPT     tcp  --  any    any     172.64.0.0/13        anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     104.16.0.0/12        anywhere             multiport dports http,https
 2439  241K ACCEPT     tcp  --  any    any     162.158.0.0/15       anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     198.41.128.0/17      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     197.234.240.0/22     anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     188.114.96.0/20      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     190.93.240.0/20      anywhere             multiport dports http,https
  157 20624 ACCEPT     tcp  --  any    any     108.162.192.0/18     anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     141.101.64.0/18      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     103.31.4.0/22        anywhere             multiport dports http,https
   33  5482 ACCEPT     tcp  --  any    any     103.22.200.0/22      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     103.21.244.0/22      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     173.245.48.0/20      anywhere             multiport dports http,https
   71  4192 DROP       tcp  --  any    any     anywhere             anywhere             multiport dports http,https

mlmmlm_admin · 2021 年2 月 25 日 06:37

https://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently

如果你是ubuntu用户，用dpkg-reconfigure iptables-persistent来保存设置。

mlmmlm_admin · 2021 年2 月 25 日 17:17

2021/2/26

发现邮件发不出去。
原因是docker容器内无法解析域名。
https://stackoverflow.com/questions/31667160/running-docker-container-iptables-no-chain-target-match-by-that-name

我键入了systemctl restart docker解决了这个问题，但是iptables却因此改变了。无法起到ip白名单的效果。

Chain INPUT (policy ACCEPT 364 packets, 75703 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  any    any     131.0.72.0/22        anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     172.64.0.0/13        anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     104.16.0.0/12        anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     162.158.0.0/15       anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     198.41.128.0/17      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     197.234.240.0/22     anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     188.114.96.0/20      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     190.93.240.0/20      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     108.162.192.0/18     anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     141.101.64.0/18      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     103.31.4.0/22        anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     103.22.200.0/22      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     103.21.244.0/22      anywhere             multiport dports http,https
    0     0 ACCEPT     tcp  --  any    any     173.245.48.0/20      anywhere             multiport dports http,https
    0     0 DROP       tcp  --  any    any     anywhere             anywhere             multiport dports http,https

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1990  750K DOCKER-USER  all  --  any    any     anywhere             anywhere
 1990  750K DOCKER-ISOLATION-STAGE-1  all  --  any    any     anywhere             anywhere
 1040  235K ACCEPT     all  --  any    docker0  anywhere             anywhere             ctstate RELATED,ESTABLISHED
   59  3116 DOCKER     all  --  any    docker0  anywhere             anywhere
  891  512K ACCEPT     all  --  docker0 !docker0  anywhere             anywhere
    0     0 ACCEPT     all  --  docker0 docker0  anywhere             anywhere

Chain OUTPUT (policy ACCEPT 188 packets, 26045 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain DOCKER (1 references)
 pkts bytes target     prot opt in     out     source               destination
   55  2876 ACCEPT     tcp  --  !docker0 docker0  anywhere             172.17.0.2           tcp dpt:https
    4   240 ACCEPT     tcp  --  !docker0 docker0  anywhere             172.17.0.2           tcp dpt:http

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination
  891  512K DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  anywhere             anywhere
 1990  750K RETURN     all  --  any    any     anywhere             anywhere

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  any    docker0  anywhere             anywhere
  891  512K RETURN     all  --  any    any     anywhere             anywhere

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination
 1990  750K RETURN     all  --  any    any     anywhere             anywhere