1
yeh 103 天前 1
docker 部署个 ss ,vmess 啥的
写个规则,在外先回家,再访问 nas 。 |
2
dropdatabase 103 天前 1
Port Knocking
|
3
ggmm001 103 天前
通过子域名做反向代理
|
4
hronro 103 天前 via Android
用 VPN 。我路由器上直接配置拒绝所有由公网到内网的连接,简单粗暴。
|
5
tomczhen 103 天前
HTTPS 双向验证
|
6
SeanChang 103 天前
|
7
dfdd1811 103 天前
自己的就 vpn 回家,通过内网连。需要公共就 fail2ban 。我群晖的端口都不放公网了
|
8
Trim21 103 天前
我用的是 pomerium ,直接把所有需要验证的服务都丢到反向代理后面去就行了
|
9
SeanChang 103 天前
安装后把群晖或者群晖的上流的软路由之类的端口全关闭,或者用群晖的防火墙关闭端口,只留一个端口,外网通过访问这个端口进入再通过雷池 WAF 监听这个端口,根据域名判断进行反向代理即可。
雷池最近更新了几个版本,上面的教程可能有点过时了,可以做个参考。 |
10
mikewang 103 天前 via iPhone
参考 https://v2ex.com/t/982608
端口处于打开状态,域名不正确选择直接关闭连接,可一定程度上避免基于 ip 的 http 扫描 |
11
heavymetals 103 天前
我用的 wireguard 回家,路由器只要开一个 wireguard 端口就行
|
12
pxiphx891 103 天前
用 wireguard
|
13
wshcdr 103 天前
群晖上开启两步验证,就安全多了
|
14
CodeAllen 103 天前
像 zerotier 这样虚拟内网不就好了,VPN 是最简单的方式,权限验证也都很成熟,而且都有加密,要说缺点就是得后台跑服务
|
15
0o0O0o0O0o 103 天前 via iPhone
wireguard
|
16
fiveStarLaoliang 103 天前 3
1. tailscale 、wireguard 等组网工具
2. 端口隐射加秘钥验证 3. 端口敲门 4. 其他待补充 |
17
COOOOOOde 103 天前 via Android
说起来我有一个想法,做一个服务维护一个防火墙的时限白名单 再暴露一个网页服务,网页上输入密码后将当前访问 ip 加到白名单上,每个 ip 限制时间访问比如一天,过期移除白名单。
不知道有没有现成的 |
18
suuuch 103 天前
我有一个特别不方便的做法,就是在每天凌晨我在睡觉的时间里,有几个小时是直接关机的。。通过日志,能看出来被访问的频率大幅度降低。
|
19
Andrue 103 天前
一定要用公网就双向 tls 试试,当然最好还是用组网工具做安全环境比较好
|
20
heavymetals 102 天前
@COOOOOOde 有的 vpn 脚本有这种功能,具体是哪个忘了,就是用梯子之前先访问一个链接,把当前 ip 添加到白名单里,然后才能连接上
|
21
Autonomous OP @SeanChang 研究了下雷池,感觉大而重啊
|
22
totoro625 102 天前
@COOOOOOde #17 我自己手搓了一个
后台运行 ddns-go 将当前机器 ip 解析到一个 ddns 域名上,机器每隔 5 分钟将当前 ddns 的 ip 添加到白名单,每天 24 点清空 手机是访问一个 web 网页,写入当前访问 ip 到 cloudflare kv ,再获取 ip 进行放行 GPT 写了一个通过点击网页按钮,PHP 执行 shell 放行当前访问 ip 的脚本,但是感觉开放这个网页,并给这么高的权限更加不安全 |
23
leconio 102 天前 via iPhone
自爆让运营商回收公网 ip ,然后打洞那个是动态端口,动态端口实时更新到 cf ,然后 cf302 到 nas 。
|
24
securityCoding 102 天前 via Android
套个 cf
|
25
glcolof 102 天前
用 n2n 组建虚拟局域网,与局域网一样使用,但是不暴露任何端口在公网。
但是需要一台公网服务器做中转。 |
26
GooMS 102 天前 via Android
Tail scale
|
27
piero66 102 天前 via Android
用虚拟组网,不要用端口映射
|
28
mcone 102 天前
你平时也就几个 ip 访问你的 nas 吧(手机网络,家庭公网,公司电脑,常用梯子),加个白然后其他防火墙伺候就行了。
说了你可能不行,我前两个网都加的甚至都是/16 ,从后台看爆破的就少多了 |
29
farmer01 102 天前
最安全的还是 VPN 回家。
|
30
zyq2280539 102 天前
开防火墙,所有开放端口一律手动控制,尽量使用 nginx 来进行转发,这样有问题可以查日志。
|
31
bluedawn 102 天前 via iPhone
你是不是在找 Tailscale ?
|
32
lineezhang8848 102 天前
vpn
|
33
bluedawn 102 天前 via iPhone
如果需要提供外部服务,用 cloudflare tunnel 穿透,不暴露任何端口,还能有 cf 的 cdn 防护
|
34
yinmin 102 天前 via iPhone
https 双向证书认证,绝对安全
|
35
z5238384 102 天前
推荐一下 nginx proxy manager 搭配 crowdsec 就好,家用基本够了,参考: https://sspai.com/post/88908 , 就 2 个 docker 的事情。 你如果要方便的话,还是这个,真不像暴露端口,直接 vpn ,相信也不问了
|
36
skadi 102 天前
暴露一个端口,nginx 代理二级域名.全都开启 passwd
|
37
BugCry 102 天前 via Android
一堆花里胡哨的,@dropdatabase 是正解
|
38
MrOops 102 天前
我用的 nginx proxy manager 反代,然后把 npm 的端口在 cloudflare 做一个 origin rules ,这样一举两得,又能减少端口暴露,又能甩掉端口号直接访问,配合 cf 的 zero trust ,还可以通过 email/github/google 等服务做验证。
缺点就是国内访问有点慢,不过反正服务都是我自己用,而且 24 小时挂梯子,不算什么大问题 |
39
Jhma 102 天前
都 2024 了还在暴露服务端口,哪天被勒索了就知道痛了,说三遍:只开放 VPN 端口!只开放 VPN 端口!只开放 VPN 端口!
|
40
boshok 102 天前
Cloudflare Tunnel
|
41
GeekGao 102 天前
用 Tailscale ,这类免费 VPN 轻松解决安全问题。
其他啥 Port Knocking 的,还要装额外的服务端/客户端,不方便 |
42
z5e56 102 天前 via Android
ssh tunneling
|
43
Autonomous OP 感谢各位爷,先后尝试了 SS 和 WireGuard ,踩了好多坑终于把 WireGuard 调通,同城同运营商延迟大概 100~200ms
|
44
xdzhang 102 天前
我直接暴露在外的,只屏蔽了国外 ip 。
|
45
Jacobson 102 天前
搞台堡垒机,然后家里专门开一台 WIN 对外公开,并且只允许这保堡垒机的 IP 连接相关端口,其余 IP 一律拒绝。
|
46
ic3z 102 天前 via iPhone
frp 配置 stcp 只能本地连
|
47
qfchannel 102 天前
我全走 cf 隧道,除了 bt 没漏别的
|
48
WizardLeo 102 天前
@MrOops 用 origin rules 就得走 cf 的 cdn 了吧,访问自家 nas 还得走一遍全球有点得不偿失。我感觉就 op 的需求,国内直连得是必须的。
|
49
glcolof 102 天前
@Autonomous 延迟有点高了,是不是哪里的配置不够优化?
我这边测试下来,广电省内跨城到电信,延迟 50 毫秒左右。同城电信到电信 30 毫秒左右。 |
50
Rinndy 101 天前 via iPhone
你们都是 ipv4 公网?
|
51
sn0wdr1am 101 天前
使用 zerotier 进行虚拟局域网组网,是不是一个方案?
|
52
Autonomous OP |
53
Autonomous OP @glcolof 可能是测延迟的链接有问题,我用的是 Loon ,内置的测延迟链接是 http://www.gstatic.com/generate_204 ,即使我在内网都有 15-20ms
|
54
Autonomous OP @Rinndy 老用户了,跟装机小哥关系好,公网 IP 一直在
|
55
lin41411 101 天前 via iPhone
做个 wireguard ,双向密钥认证基本没破解可能。只需要开放一个自定义端口,要扫出来也很不容易。
要求不高就直接用 wireguard 客户端连接,要求高就用 clash 做分流,家里服务有走 wireguard ,国内服务直连,国外就走梯子。 |
56
lianyanjiajia 101 天前
我用 cloudflare tunnel + tailscale 一个端口都不用开
|
57
wuzeiyicixing 101 天前
你就一个也别开啊,VPN 回去。。。
|
58
bluedawn 100 天前 via iPhone
@Autonomous 有公网 ip 更好了,tailscale 只是用自己的服务器打个洞,流量会用你的公网 ip 直连的,zerotier 我感觉不太好使。
|
59
swordspoet 98 天前
@Autonomous #43 我的是深圳电信,WireGuard + ipv6 没有调通,感觉可能是路由器的防火墙阻断了。
|