V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ccagml
V2EX  ›  NAS

想要黑群晖的 5000 端口用 Nginx 反代出来,会有什么安全问题?

  •  
  •   ccagml · 112 天前 · 2174 次点击
    这是一个创建于 112 天前的主题,其中的信息可能已经有所发展或是发生改变。

    规则类似

    location ~ /asdasd 比较长的随机路径/ {
     proxy_pass  http://127.0.0.1:5000
    }
    

    使用类似 xxx.xxx.com/asdasd 比较长的随机路径 这样会有什么问题,感觉很不安全的样子 主要是想在手机上看照片,又不想在手机上安装额外的软件

    第 1 条附言  ·  112 天前
    这样看来安全性还可以,谢谢大家
    26 条回复    2023-11-16 10:14:20 +08:00
    hay313955795
        1
    hay313955795  
       112 天前
    没啥问题。。等有问题的时候再改了呗。
    leefor2020
        2
    leefor2020  
       112 天前
    NGINX 限制下访问 IP 呗,只允许你常用的 IP 段
    AoEiuV020JP
        3
    AoEiuV020JP  
       112 天前
    5000 不是也要密码登录的吗, 只要密码不太简单,安全性没啥问题吧,
    另外 nas 本职是 smb, 手机上随便一个支持的文件管理器就行,不算额外安装软件吧,
    xiamy1314
        4
    xiamy1314  
       112 天前
    没有,密码复杂点。
    prudence
        5
    prudence  
       112 天前
    有个限制 密码错误封锁 ip 设置一分钟错一次锁,开了公网几年目前没事
    wxw752
        6
    wxw752  
       112 天前
    三年了,没有问题
    devswork
        7
    devswork  
       112 天前
    1. 上 HTTPS SSL 证书
    2. 仅你当地的运营商 IP allow ,其他一律 deny ,参考 http://ipcn.chacuo.net/
    3. 路径足够随机,足够猜不到
    4. 匹配其他路径兜底 301 302 到小米官网、华硕官网,模拟一个路由器出错跳转回官网的现象
    hervey0424
        8
    hervey0424  
       112 天前
    上 https 把, 要不然被人家抓到密码就完犊子了
    Livid
        9
    Livid  
    MOD
       112 天前   ❤️ 1
    tsanie
        10
    tsanie  
       112 天前
    给可以登录 dsm 的用户开启 otp
    gps949
        11
    gps949  
       112 天前   ❤️ 1
    看到 livid 都发了,我也凑个热闹:
    https://www.v2ex.com/t/961711

    话说回来,如果选择反代方式的话,建议可以 NPM 做简单些,并且建议两端 SSL (即走群晖 5001 口到你反代,你反代开 HTTPS )。
    另外,也可以考虑用 Cloudflare R2 、百度网盘、OneDrive 、Google 同步,既实现照片多备份又可以方便查看(当然百度网盘的话前提是已经是它的用户)。
    再此外,还可以直接用群晖的 webstation 。

    总的来说玩法还挺多的
    cctv180
        12
    cctv180  
       112 天前
    都用 Nginx 了,事情要简单很多开启证书,把默认网站直接返回 444,即你指定域名才能开,只要你不泄露域名只有运营商通过 SNI 才能查到。

    listen 80 default_server;
    listen 443 ssl http2 default_server;
    return 444;
    leconio
        13
    leconio  
       112 天前
    这写法有问题吧,
    leconio
        14
    leconio  
       112 天前
    这写法有问题吧,我觉得应该是这样,不对请指出
    location /比较长的随机路径 {
    rewrite ^/比较长的随机路径/(.*)$ /$1 break;
    proxy_pass http://127.0.0.1:5001;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection 'upgrade';
    proxy_set_header Host $host;
    proxy_cache_bypass $http_upgrade;
    }
    JensenQian
        15
    JensenQian  
       112 天前
    你富强软件总归要装吧
    富强的一般都支持 wireguard
    搞个不就好了
    hostname
        16
    hostname  
       112 天前
    我在 NGINX,设置了双向 HTTPS 认证,感觉很安全
    lovelylain
        17
    lovelylain  
       112 天前 via Android
    @leconio proxy_pass http://127.0.0.1:5001/;不用 rewrite
    skilyalex
        18
    skilyalex  
       112 天前
    都有公网 IP 了,不如直接开个 VPN 回家好了
    hysjw
        19
    hysjw  
       112 天前
    用 VPN 最安全,次一点就限制 IP 访问加 http 密码验证
    hefish
        20
    hefish  
       112 天前
    我一哥们,把群晖反代到公网上,没两个星期,上面存的小姐姐全被删了。。。估计是大学生复制时用了剪切。。
    lxh1983
        21
    lxh1983  
       111 天前
    @hefish 用户名:admin ,密码:123 ?我从黑群 4.x 开始就开公网访问,到现在 10 来年了,只见撞门的,没见到撞开的
    YsHaNg
        22
    YsHaNg  
       111 天前 via iPhone
    有公网为啥不用 ddns 和 qc http 纯内网用 路由不开 5000
    knightgao2
        23
    knightgao2  
       111 天前
    现在一般都 tailscale 子网开下访问内网,或者 netbrid ,个人用前者就行,后者主打免费
    nitmali
        24
    nitmali  
       111 天前
    没有暴 0day 不是弱口令一般没啥问题,如果是家宽有工信部警告的可能性。
    maskerTUI
        25
    maskerTUI  
       111 天前
    上个 https 吧,再开个 TOTP 两步验证,另外不建议用 admin 账号。
    kisnows
        26
    kisnows  
       110 天前
    我直接用了华硕路由器自带的 instant guard ,足够简单。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2874 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 15:02 · PVG 23:02 · LAX 07:02 · JFK 10:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.