add first security pages

alireza0 · Sep 12, 2023 · 6edf071 · 6edf071
1 parent cce1af5
commit 6edf071
Show file tree

Hide file tree

Showing 6 changed files with 91 additions and 1 deletion.
diff --git a/content/fa/docs/_index.md b/content/fa/docs/_index.md
@@ -1,4 +1,3 @@
-
 ---
 title: "راهنما"
 linkTitle: "راهنما"

diff --git a/content/fa/docs/security/_index.md b/content/fa/docs/security/_index.md
@@ -0,0 +1,8 @@
+---
+title: "نکات امنیتی"
+weight: 3
+description: >
+  برای اینکه سرور شما توسط فیلترچی و یا ربات‌های آنها تشخیص داده نشود چه اقداماتی باید انجام داد؟
+---
+
+در این بخش اطلاعات در بخش های متفاوت زیر ارائه شده است:
diff --git a/content/fa/docs/security/fallback.md b/content/fa/docs/security/fallback.md
@@ -0,0 +1,7 @@
+---
+title: "فالبک"
+weight: 3
+description: >
+  استفاده از فالبک
+---
+
diff --git a/content/fa/docs/security/https.md b/content/fa/docs/security/https.md
@@ -0,0 +1,15 @@
+---
+title: "اتصال به پنل"
+weight: 1
+description: >
+  اتصال امن به پنل از طریق HTTPS
+---
+
+در نظر داشته باشید ارتباط شما با پنل در صورت عدم استفاده از گواهی دیجیتال (HTTPS)، توسط فیلترچی و حتی MITM ها قابل رویت است.
+بعد از نصب سرور و قبل از تنظیم و ارسال هرگونه اطلاعات حساس به سرور، حتما از اینکه ارتباط شما با سرور امن است مطمئن شوید.
+
+### نمونه راه های امن سازی
+1. استفاده از گواهی دیجیتال در تنظیمات سرور
+1. استفاده از نرم افزار های پراکسی مانند nginx
+1. استفاده از پراکسی های ابری مانند کلادفلر
+1. استفاده از ssh tunnel برای باز کردن پنل
diff --git a/content/fa/docs/security/iptables.md b/content/fa/docs/security/iptables.md
@@ -0,0 +1,55 @@
+---
+title: "فایروال"
+weight: 2
+description: >
+  تنظیم فایروال
+---
+
+## چرا فایروال سیستم مهم است
+ربات ها برای اینکه سرور ارائه دهنده خدمات v2ray را شناسایی کنند، روشهای متعددی را استفاده میکنند.
+یکی از این روش ها شبیه سازی اتصال با پروتکل های v2ray و ارزیابی جواب آنهاست.
+در اکثر مواقع این عملیات توسط رباتهایی با آدرس IP های شرکت ارتباطات زیرساخت انجام میشود. به همین دلیل بهتر است این آدرس ها شناسایی و بلاک شوند.
+
+لیست آدرس ها را میتوانید از منابع زیر پیدا کنید:
+
+1. [bgp.he.net report](https://bgp.he.net/AS49666#_prefixes)
+
+1. [ripe ncc api query](https://stat-ui.stat.ripe.net/data/announced-prefixes/data.json?data_overload_limit=ignore&resource=AS49666&starttime=1694525594&min_peers_seeing=10)
+
+در مواردی این موضوع توسط رباتهایی از سایر نقاط هم دیده شده که در واقع این عملیات برای پیدا کردن آنها مناسب نیست.
+
+## مواردی که حتما باید در نظر داشته باشید
+
+### ۱. بین سرور محلی و خارجی
+وقتی دو سرور محلی و خارجی دارید، و از تانلینگ بین این دو سرور استفاده میکنید، برای پورت(های) سرویس (های) سرور خارج، امکان ارتباط را فقط برای سرور محلی فراهم کنید.
+
+به عنوان مثال اگر سرور محلی شما با آدرس a.b.c.d در دسترس است، و با پورت های ۴۴۳و ۸۴۴۳ در حال سرویس دهی است، دستورات زیر را بکار ببرید:
+
+```
+iptables -A INPUT ! -s a.b.c.d -p tcp -m tcp --dport 443 -j DROP
+iptables -A INPUT ! -s a.b.c.d -p tcp -m tcp --dport 8443 -j DROP
+```
+
+اگر از netfilter-persistent استفاده میکنید، موراد را به شکل زیر را در فایل مربوطه ذخیره کنید:
+
+File: `/etc/iptables/rules.v4`
+```
+*filter
+:INPUT ACCEPT [0:0]
+:FORWARD ACCEPT [0:0]
+:OUTPUT ACCEPT [0:0]
+-A INPUT ! -s a.b.c.d -p tcp -m tcp --dport 443 -j DROP
+-A INPUT ! -s a.b.c.d -p tcp -m tcp --dport 8443 -j DROP
+COMMIT
+```
+
+و سپس سرویس مربوطه را ریستارت کنید:
+```
+systemctl restart netfilter-persistent.service
+```
+
+### ۲. استفاده از تانل reverse
+اگر سرور داخلی شما توسط ارتباط معکوس با سرور خارج تانل شده است (reverse) بهتر است هیچ سرویسی روی inbound در سرور خارج تعریف نشود و در صورت لزوم به داشتن آن، به سرور محلی محدود شود.
+
+### ۳. ارتباط مستقیم از یک پروایدر
+اگر همه استفاده کننده های سرور شما از یک منطقه جغرافیایی و فقط از طریق یک فراهم کننده خدمات اینترنتی سرویس میگیرند، بهتر است به کل محدوده IP های آن شرکت محدود شود.
diff --git a/content/fa/docs/x-ui/_index.md b/content/fa/docs/x-ui/_index.md
@@ -0,0 +1,6 @@
+---
+title: "X-UI"
+weight: 1
+description: >
+  شرح چکونگی نصب، استفاده و تنظیمات پنل 
+---