V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
ccagml
V2EX  ›  NAS

想要黑群晖的 5000 端口用 Nginx 反代出来,会有什么安全问题?

  •  
  •   ccagml · 2023-11-14 13:57:25 +08:00 · 2787 次点击
    这是一个创建于 412 天前的主题,其中的信息可能已经有所发展或是发生改变。

    规则类似

    location ~ /asdasd 比较长的随机路径/ {
     proxy_pass  http://127.0.0.1:5000
    }
    

    使用类似 xxx.xxx.com/asdasd 比较长的随机路径 这样会有什么问题,感觉很不安全的样子 主要是想在手机上看照片,又不想在手机上安装额外的软件

    第 1 条附言  ·  2023-11-14 20:45:11 +08:00
    这样看来安全性还可以,谢谢大家
    26 条回复    2023-11-16 10:14:20 +08:00
    hay313955795
        1
    hay313955795  
       2023-11-14 13:57:54 +08:00
    没啥问题。。等有问题的时候再改了呗。
    leefor2020
        2
    leefor2020  
       2023-11-14 14:08:34 +08:00
    NGINX 限制下访问 IP 呗,只允许你常用的 IP 段
    AoEiuV020JP
        3
    AoEiuV020JP  
       2023-11-14 14:19:12 +08:00
    5000 不是也要密码登录的吗, 只要密码不太简单,安全性没啥问题吧,
    另外 nas 本职是 smb, 手机上随便一个支持的文件管理器就行,不算额外安装软件吧,
    xiamy1314
        4
    xiamy1314  
       2023-11-14 14:24:05 +08:00
    没有,密码复杂点。
    prudence
        5
    prudence  
       2023-11-14 14:32:24 +08:00
    有个限制 密码错误封锁 ip 设置一分钟错一次锁,开了公网几年目前没事
    wxw752
        6
    wxw752  
       2023-11-14 14:34:35 +08:00
    三年了,没有问题
    devswork
        7
    devswork  
       2023-11-14 14:38:48 +08:00
    1. 上 HTTPS SSL 证书
    2. 仅你当地的运营商 IP allow ,其他一律 deny ,参考 http://ipcn.chacuo.net/
    3. 路径足够随机,足够猜不到
    4. 匹配其他路径兜底 301 302 到小米官网、华硕官网,模拟一个路由器出错跳转回官网的现象
    hervey0424
        8
    hervey0424  
       2023-11-14 15:35:34 +08:00
    上 https 把, 要不然被人家抓到密码就完犊子了
    Livid
        9
    Livid  
    MOD
       2023-11-14 15:36:37 +08:00   ❤️ 1
    tsanie
        10
    tsanie  
       2023-11-14 15:41:51 +08:00
    给可以登录 dsm 的用户开启 otp
    gps949
        11
    gps949  
       2023-11-14 15:45:52 +08:00   ❤️ 1
    看到 livid 都发了,我也凑个热闹:
    https://www.v2ex.com/t/961711

    话说回来,如果选择反代方式的话,建议可以 NPM 做简单些,并且建议两端 SSL (即走群晖 5001 口到你反代,你反代开 HTTPS )。
    另外,也可以考虑用 Cloudflare R2 、百度网盘、OneDrive 、Google 同步,既实现照片多备份又可以方便查看(当然百度网盘的话前提是已经是它的用户)。
    再此外,还可以直接用群晖的 webstation 。

    总的来说玩法还挺多的
    cctv180
        12
    cctv180  
       2023-11-14 17:09:07 +08:00
    都用 Nginx 了,事情要简单很多开启证书,把默认网站直接返回 444,即你指定域名才能开,只要你不泄露域名只有运营商通过 SNI 才能查到。

    listen 80 default_server;
    listen 443 ssl http2 default_server;
    return 444;
    leconio
        13
    leconio  
       2023-11-14 17:14:07 +08:00
    这写法有问题吧,
    leconio
        14
    leconio  
       2023-11-14 17:18:23 +08:00
    这写法有问题吧,我觉得应该是这样,不对请指出
    location /比较长的随机路径 {
    rewrite ^/比较长的随机路径/(.*)$ /$1 break;
    proxy_pass http://127.0.0.1:5001;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection 'upgrade';
    proxy_set_header Host $host;
    proxy_cache_bypass $http_upgrade;
    }
    JensenQian
        15
    JensenQian  
       2023-11-14 17:23:24 +08:00
    你富强软件总归要装吧
    富强的一般都支持 wireguard
    搞个不就好了
    hostname
        16
    hostname  
       2023-11-14 17:25:54 +08:00
    我在 NGINX,设置了双向 HTTPS 认证,感觉很安全
    lovelylain
        17
    lovelylain  
       2023-11-14 20:26:06 +08:00 via Android
    @leconio proxy_pass http://127.0.0.1:5001/;不用 rewrite
    skilyalex
        18
    skilyalex  
       2023-11-14 20:55:40 +08:00
    都有公网 IP 了,不如直接开个 VPN 回家好了
    hysjw
        19
    hysjw  
       2023-11-14 21:58:17 +08:00
    用 VPN 最安全,次一点就限制 IP 访问加 http 密码验证
    hefish
        20
    hefish  
       2023-11-14 22:41:05 +08:00
    我一哥们,把群晖反代到公网上,没两个星期,上面存的小姐姐全被删了。。。估计是大学生复制时用了剪切。。
    lxh1983
        21
    lxh1983  
       2023-11-14 23:41:51 +08:00
    @hefish 用户名:admin ,密码:123 ?我从黑群 4.x 开始就开公网访问,到现在 10 来年了,只见撞门的,没见到撞开的
    YsHaNg
        22
    YsHaNg  
       2023-11-15 06:07:03 +08:00 via iPhone
    有公网为啥不用 ddns 和 qc http 纯内网用 路由不开 5000
    knightgao2
        23
    knightgao2  
       2023-11-15 08:34:39 +08:00
    现在一般都 tailscale 子网开下访问内网,或者 netbrid ,个人用前者就行,后者主打免费
    nitmali
        24
    nitmali  
       2023-11-15 09:07:29 +08:00
    没有暴 0day 不是弱口令一般没啥问题,如果是家宽有工信部警告的可能性。
    maskerTUI
        25
    maskerTUI  
       2023-11-15 09:40:07 +08:00
    上个 https 吧,再开个 TOTP 两步验证,另外不建议用 admin 账号。
    kisnows
        26
    kisnows  
       2023-11-16 10:14:20 +08:00
    我直接用了华硕路由器自带的 instant guard ,足够简单。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1177 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 18:15 · PVG 02:15 · LAX 10:15 · JFK 13:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.