Ollama 安全加固措施

为了保护在公网上运行的 Ollama 服务并限制访问，可以采取以下措施：

方法一：通过防火墙限制

Linux系统 使用 ufw 防火墙

1. 检查 Ollama 默认监听的端口（通常是 11434）。
2. 配置 ufw 只允许指定 IP 访问 11434 端口：

# 允许指定 IP 访问 11434 端口
ufw allow from <指定IP> to any port 11434 proto tcp

# 拒绝其他所有 IP 访问 11434 端口
ufw deny in to any port 11434 proto tcp

将 <指定IP> 替换为允许访问的 IP 地址（如 192.168.1.100）。完成后，重新加载防火墙规则：

ufw reload

确保 ufw 已启用：

ufw enable

Windows 系统（使用 Windows 防火墙）

1. 打开“Windows Defender 防火墙” -> “高级设置”。
2. 创建一个新的“入站规则”，选择端口 11434，协议为 TCP。
3. 在“范围”选项中，指定允许访问的远程 IP 地址。
4. 保存并应用规则，其他未指定的 IP 将被阻止。

方法二：修改 Ollama 监听地址（配合防火墙）

默认情况下，Ollama 可能监听 0.0.0.0（所有接口）。你可以将其改为仅监听本地接口（127.0.0.1），然后通过反向代理（如 Nginx）控制访问。

设置环境变量 OLLAMA_HOST：

Linux：

在 /etc/systemd/system/ollama.service 中添加：

Environment="OLLAMA_HOST=127.0.0.1:11434"

然后重启ollama服务

systemctl daemon-reload
systemctl restart ollama

Windows：

在系统环境变量中添加 OLLAMA_HOST=127.0.0.1:11434，然后重启 Ollama 服务。

通过配置Nginx反向代理，在代理层限制 IP：

server {
    listen 80;
    location / {
        proxy_pass http://127.0.0.1:11434;
        allow <指定IP>;  # 替换为允许的 IP
        deny all;        # 拒绝其他 IP
    }
}

重启 Nginx：

systemctl restart nginx

方法三：使用 VPN 或内网访问

将 Ollama 部署在本地网络中，通过 VPN连接到服务器，避免直接暴露在公网上。仅允许 VPN 内的 IP 访问服务。