 |
uncatV2EX 第 222542 号会员,加入于 2017-03-23 11:13:16 +08:00今日活跃度排名 4218 |
blog.jinmiaoluo.com
jinmiaoluo
jinmiaoluo
jinmiaoluo
uncat 最近回复了
2 天前 回复了 dushixiang 创建的主题 › Next Terminal › 别再裸奔了:如何优雅且安全地暴露内网服务? |
@dushixiang
看过了,你文中提到的 “VPN 安全性(强)” 对比 “Next Terminal 安全性(极强)” 的表述是不客观的,所以多说了一些。
VPN 对应的内网是否会在被攻陷的时候完全暴露,取决于个人的实践,比如:
1. 可以在 VPN 公网节点,通过 Linux 防火墙配置 Forward 规则,只允许访问特定 IP 、特定端口。
2. 如果担心 VPN 公网节点沦陷,可以在 VPN 内网节点,通过 Linux 防火墙配置 Forward 规则,只允许访问特定 IP 、特定端口。
3. 其次,可以通过内网设备自带的防火墙,给每个内网设备添加内网防火墙规则。
4. 最后,可以通过 ansible + git ,版本化管理 wireguard 和防火墙规则。
@pingdog 这位先生说的更中肯。即:
"WireGuard 适合做 Server to Server ,IKEv2 适合给 UE (User Equipment/终端用户设备)做 RA (Remote Access)"
我自己拿 WireGuard 作为 UE (User Equipment) 的(Remote Access)的,也作为 Server to Server 和 Server to LAN 的解决方案。
稳定运行很多年了,所以建议后来者,还是选这类内核级别的,更成熟的方案。
看过了,你文中提到的 “VPN 安全性(强)” 对比 “Next Terminal 安全性(极强)” 的表述是不客观的,所以多说了一些。
VPN 对应的内网是否会在被攻陷的时候完全暴露,取决于个人的实践,比如:
1. 可以在 VPN 公网节点,通过 Linux 防火墙配置 Forward 规则,只允许访问特定 IP 、特定端口。
2. 如果担心 VPN 公网节点沦陷,可以在 VPN 内网节点,通过 Linux 防火墙配置 Forward 规则,只允许访问特定 IP 、特定端口。
3. 其次,可以通过内网设备自带的防火墙,给每个内网设备添加内网防火墙规则。
4. 最后,可以通过 ansible + git ,版本化管理 wireguard 和防火墙规则。
@pingdog 这位先生说的更中肯。即:
"WireGuard 适合做 Server to Server ,IKEv2 适合给 UE (User Equipment/终端用户设备)做 RA (Remote Access)"
我自己拿 WireGuard 作为 UE (User Equipment) 的(Remote Access)的,也作为 Server to Server 和 Server to LAN 的解决方案。
稳定运行很多年了,所以建议后来者,还是选这类内核级别的,更成熟的方案。
2 天前 回复了 dushixiang 创建的主题 › Next Terminal › 别再裸奔了:如何优雅且安全地暴露内网服务? |
打错了,VPN 应该是:Virtual Private Network
2 天前 回复了 dushixiang 创建的主题 › Next Terminal › 别再裸奔了:如何优雅且安全地暴露内网服务? |
wireguard 基于 UDP 实现匿名,是在 UDP 这种无状态协议层基础上进行设计的。
即对不认识的请求完全"装死"——不回应、不拒绝、什么都不说。
从外部看,这个端口就像不存在。实际效果是:
- 扫不到:黑客扫描端口发现不了它
- 打不着:攻击者连目标都找不到
敌人根本找不到你的 wireguard 服务器。
你提供的服务,本质上就是 Virtul Persion Network ( VPN )应该提供的能力,这种能力,还是交给成熟的社区方案吧。毕竟在安全性、稳定性、性能等角度,都没有太大的可比性。
服务器:wireguard kernel module + systemd-networkd + ip forward
本地:wireguard kernel module + systemd-networkd + ip forward + masqurade
内网一台 debian 虚拟机 + 一台 debian 服务器就搞定了。
什么软件都不用安装的。
即对不认识的请求完全"装死"——不回应、不拒绝、什么都不说。
从外部看,这个端口就像不存在。实际效果是:
- 扫不到:黑客扫描端口发现不了它
- 打不着:攻击者连目标都找不到
敌人根本找不到你的 wireguard 服务器。
你提供的服务,本质上就是 Virtul Persion Network ( VPN )应该提供的能力,这种能力,还是交给成熟的社区方案吧。毕竟在安全性、稳定性、性能等角度,都没有太大的可比性。
服务器:wireguard kernel module + systemd-networkd + ip forward
本地:wireguard kernel module + systemd-networkd + ip forward + masqurade
内网一台 debian 虚拟机 + 一台 debian 服务器就搞定了。
什么软件都不用安装的。
3 天前 回复了 eastry 创建的主题 › 程序员 › 请教下 frp 的安全性 |
wireguard.
用随便一台 linux ,通过 systemd-networkd 加份 netdev 和 network 就搞定了,很简单的。
用随便一台 linux ,通过 systemd-networkd 加份 netdev 和 network 就搞定了,很简单的。
2025 年 12 月 31 日 回复了 052678 创建的主题 › 生活 › 兄弟们,平时用香水吗?如何看待男生用香水的? |
用。
社交礼仪的一种。
以淡香为主,愉悦自己也不影响他人。
Diptyque:玫瑰、夏日、无花果。
社交礼仪的一种。
以淡香为主,愉悦自己也不影响他人。
Diptyque:玫瑰、夏日、无花果。
2025 年 10 月 11 日 回复了 huangmingyou 创建的主题 › WireGuard › wg 会被 isp 搞了? |
AmneziaWG
2025 年 9 月 30 日 回复了 forgottenPerson 创建的主题 › 阅读 › 荐书 |
不好意思, 没看描述.
我推荐的这些应该不是你想看.
我推荐的这些应该不是你想看.
2025 年 9 月 30 日 回复了 forgottenPerson 创建的主题 › 阅读 › 荐书 |
最近在看的书:
-《哲学家的最后一课》作者是一个很有生命力的人, 是一本让我被“充电”的书.
-《将熟悉变成陌生》挺喜欢书中鲍曼的一些观点和看法.
-《阅读是安静的自我觉醒》挺喜欢前 6 章的.
-《真正的孤独》第一次读这位作者(瓜达卢佩·内特尔)的书, 第一章会让我有种代入感(就像在写自己), 活成刺猬的人和拥抱刺猬的人.
-《哲学家的最后一课》作者是一个很有生命力的人, 是一本让我被“充电”的书.
-《将熟悉变成陌生》挺喜欢书中鲍曼的一些观点和看法.
-《阅读是安静的自我觉醒》挺喜欢前 6 章的.
-《真正的孤独》第一次读这位作者(瓜达卢佩·内特尔)的书, 第一章会让我有种代入感(就像在写自己), 活成刺猬的人和拥抱刺猬的人.
2025 年 8 月 29 日 回复了 busier 创建的主题 › 服务器 › 家庭搞服务器 似乎使用笔记本 CPU 的台式机才是功耗性能最佳平衡 |
配置:5900X 128G 3090*2
数量:2 台
运行时间:7*24 小时运行,2021 年底到现在 3.5 年应该有了。
数量:2 台
运行时间:7*24 小时运行,2021 年底到现在 3.5 年应该有了。
Select Language