1. ufw

sudo ufw default deny incoming
sudo ufw deny in from any to any
# sudo ufw allow from any to any port 5353 protocol udp
sudo ufw enable		# 啟動+開機自啟
# sudo ufw reload 更改后的操作

2. 防ARP欺騙

華為云教程

ubuntu執行

1. 查詢當前arp 表
2. 刪除IP對應的arp表項，用man獲取其用法
相關命令：
3. 獲取當前的arp表(如果arp攻擊停止)
3. 綁定``arp -s ip_addr ether_addr```
4. 再次顯示，可以看到局域網網關192.168.124.1的mac變為永久(permanent)，
5. 但重啟后仍然失效，需要加入開機啟動項，

chmod 755 /etc/rc.d/rc.local

nano，添加命令

arp -i net_device -s ip_addr ether_addr

chmod 555 /etc/rc.d/rc.local

恢復權限

3. 防DNS污染

DNS協議，把域名解析成ip地址，udp，這個過程會暴露訪問的域名，
對這一傳輸過程加密（傳輸層用tcp）即為DoH(DNS over HTTPS)。

Browser(firefox)加固

由于Cloudflare、Quad8的DoH服務器不能用（lack ladder)，國內一般用aliyun。
在Firefox的設置tab，更改DoH服務商，

DoH API可以是如下兩種：

https://dns.alidns.com/dns-query	
# 不建議使用，因為dns.alidn.com可能被污染
https://223.6.6.6/dns-query
https://alidns_ip/dns-query		
# 這里alidns_ip = 223.5.5.5 or 223.6.6.6 or 2400:3200::1 or 2400:3200:baba::1 
https://1.1.1.1/dns-query
https://9.9.9.9/dns-query

Wifi默認dns加固

aliyun公共DNS

• IPv4地址：223.5.5.5, 223.6.6.6
• IPv6地址：2400:3200::1, 2400:3200:baba::1
• DoH/DoT地址: dns.alidns.com

實踐見筆者文章

Global配置 :

nano /etc/systemd/resolved.conf
替換為如下文本：

[Resolve]
DNS=1.1.1.1 
FallbackDNS=9.9.9.9
#Domains=
DNSSEC=allow-downgrade
DNSOverTLS=opportunistic
#MulticastDNS=no
#LLMNR=no
Cache=no-negative
#CacheFromLocalhost=no
DNSStubListener=yes
#DNSStubListenerExtra=
ReadEtcHosts=yes
#ResolveUnicastSingleLabel=no

重載、開機自啟

systemctl restart systemd-resolved #重置DNS服務
systemctl enable systemd-resolved 	#開機自啟動

Current接口配置

nano /etc/resolv.conf
替換為如下文本：

nameserver 1.1.1.1
nameserver 223.5.5.5
nameserver 223.6.6.6
# Too many DNS servers configured, the following entries may be ignored.
nameserver 2400:3200::1
nameserver 2400:3200:baba::1
search .

但重啟會失效，永久配置教程

1. 修改 /etc/systemd/resolved.conf 文件

vi  /etc/systemd/resolved.conf

這里我們可以看到這些參數：

# 指定 DNS 服務器，以空白分隔，支持 IPv4 或 IPv6 位置
DNS=8.8.8.8 114.114.115.115
# 備用 DNS 服務器
FallbackDNS=8.8.8.8
# 設置搜索域名
Domains=domain.com
# 設置 LLMNR 是否激活，可用的選項有 yes、no、resolve
LLMNR=yes
# 設置 MulticastDNS 是否激活，可用的選項有 yes、no、resolve
MulticastDNS=yes
# 設置 DNSSEC 是否激活，可用的選項有 yes、no、allow-downgrade
DNSSEC=yes
# 設置緩存是否激活，可用的選項有 yes、no、no-negative
Cache=no-negative

根據需要修改 resolved.conf 文件中的DNS，然后保存。

2. 重啟 systemd-resolved 服務

systemctl restart systemd-resolved

3. 設置開機啟動 systemd-resolved 服務

systemctl enable systemd-resolved

4. 備份 systemd-resolved 托管文件 resolv.conf

mv /etc/resolv.conf /etc/resolv.conf.bak

5. 重新生成軟鏈接。

ln -s /run/systemd/resolve/resolv.conf /etc/

4. 換USTC源

sudo nano /etc/apt/sources.list

# 默認注釋了源碼倉庫，如有需要可自行取消注釋
deb https://mirrors.ustc.edu.cn/ubuntu/ noble main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble main restricted universe multiversedeb https://mirrors.ustc.edu.cn/ubuntu/ noble-security main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-security main restricted universe multiversedeb https://mirrors.ustc.edu.cn/ubuntu/ noble-updates main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-updates main restricted universe multiversedeb https://mirrors.ustc.edu.cn/ubuntu/ noble-backports main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-backports main restricted universe multiverse# 預發布軟件源，不建議啟用
# deb https://mirrors.ustc.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse
# deb-src https://mirrors.ustc.edu.cn/ubuntu/ noble-proposed main restricted universe multiverse

sudo apt update