家里的 NAS 走路由器端口映射安全性如何？

参考这个 https://www.v2ex.com/t/947704

我这非公网 IP ，开 NAT1 以后 ROS 后台一直有提示 ssh 端口和 telnet 端口再被尝试登录

@bjzhou1990 所以觉得不太安全，我目前还是走 tailscale ，除非 qB 那种必须开放的

@xinmans 防火墙只允许指定 IP 访问

@xinmans 家里路由器开 vpn, 比如 wireguard, 然后不在家时, 先 wg 回家, 再连接 nas. 这个流程应该和 tailscale 类似.
安全性 >> 便利性. 如果哪天 nas 因为端口映射直接被爆破了, 丢失数据的代价肯定比多开一个客户端大的多.

反代+双重验证，反正安全。 所有服务跑在一个端口上

我是直接端口映射出去的， 其他方式太麻烦了

我的 alist 就是 公网 https 可以访问。 没事。安不安全 取决于你的技术

ss 回家，然后分流 192.168.0.0/24 分流给 ss😁

分流一下就行了所有家里的设备都走 tailscale 网卡

家里有公网 IP 的话，只需要路由器暴露 wireguard 端口号即可。客户端链接 wireguard 之后，就可以和局域网一样访问家里设备。这样安全性最高。使用也比较方便。

@bjzhou1990 没有公网别人是怎么连进来的哇？难道是 ipv6 进来的吗？

一般用什么代理工具，支持哪些协议，nas 上搭一个吧。

开了 5 年多了，没遇到安全问题，除非你有巨大的价值，否则 0day 漏洞应该轮不到你身上。

cloudflare tunnel 非常好用，但是他们的政策不让用于流媒体服务。

openwrt 公网直接端口转发 https 访问。。。没那没多花里胡哨

@jian0jian nginxproxymanger 这种方案？

安全和便利一直都是天秤的两端，只有取舍，没法两全其美。
我自己是分两种：
1. 大流量，譬如在外看 NAS 的视频，就直接暴露一个高位端口，搞免费 HTTPS 证书套上，用 webdav+复杂共享文件夹名，实测用 potplayer 之类可以跑满家宽上传带宽；
2.小文件共享，就用 wireguard 搭建局域网环境，然后直接用 samba 之类的传输了，兼容性最好。注意 WG 是 UDP ，所以会被很多 ISP 限流，所以只能传小文件。

Tailscale 可以 on demand ，不需要来回切换

OpenWrt 的代理工具可以可以开服务端的，ss 服务、v2ray 服务………相当于开了一个节点

然后开一个端口给这这个节点

外网用代理 app （比如小火箭之类的），添加家里的节点，然后做一条规则，把家里的网段代理到这个节点即可！

效果是回家、出国同时进行、且互不干扰。

我现在是路由器端口映射，开防火墙，只映射部分非常用端口的服务，然后其他的统一走 VPN ，不公布的域名+DDNS+动态公网 IP ，暂时没遇到什么问题。

你别用默认端口

@xpn282 我直接 tailscale 的 node exit 模式就可以了

@kiracyan 防火墙怎么整？路由器是商版的，除非自己整 openwrt 之类的

@tonyaiken
@tonyaiken 主要我要用出国旅行和访问内网+访问国内网站同时满足，所以必须 tailscale node exit 常开（常开就访问国内网站很慢）

@dude4 分而治之比较复杂，想搞一个通用的方案

@xinmans #23
这个模式会把所有的流量都代理回家了。。。。并不是一个很好的方案。
国内外或翻墙的流量其实没必要先回家的，即绕路又受家里的上传带宽限制

@xpn282 家里下行 1000M ，上行 300M ，应该够用。

@xinmans 如果你不在意 UDP 限流，wireguard 可以满足需要，设置一下可以只让局域网网段走 WG 网关，其余的走手机默认外网。

@dude4 tailscale 有方案吗

@xpn282 不想来回切换小火煎和 tailcale ，所以 exit node 模式能够满足我的诉求

@xinmans
可能没看懂我说的方案。
我是说小火箭可以全部搞定你的需求所有，不需要在使用 Tailscale ，也不存在来回切换问题。。。。

Tailscale 的 exit node 模式的缺点是绕路，小火箭方案不会。

@xpn282 不在家的时候小火箭回不了家，访问不了家里的服务吧？

@xinmans
9 楼 20 楼 的内容 都白说了………