请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
我现有方案是开放到公网,在纠结要不要切换会内网,通过 Tailscale 访问。
 |
1
totoro625 1 天前
开放到公网无非是方便一点,可以直接访问
自己一个人用无所谓的,但是出于安全的角度,不建议开放到公网 |
 |
2
opengps 1 天前
能用内网谁用公网啊,公网各种扫描渗透爆破的自动化工具,有点漏洞就能让你数据归别人
|
 |
3
zhq566 1 天前
有动态公网,我是怕运营商啥时候给我限速了,现在是通过 SS 回家。每个月有个 PT 基本没啥上传,自己经常用远程桌面也就 70G 。
|
 |
4
imunoko 1 天前  2
😅建议发帖子发清楚些,什么业务什么样的需求场景?啥都不说
|
 |
5
Daybyedream 1 天前
何必呢
|
 |
7
SakuraYuki 1 天前
vpn 就行 没必要公网
|
 |
8
kakki 1 天前
NAS 坚决不连公网,顶多几个人用的场景.
|
 |
9
mangmaimu 1 天前 via iPhone
除了 bt ,其他一律 vpn 回家
|
 |
10
mqnu00 1 天前
tailscale 先测试一下打洞能不能成功。使用它自带的 derp 在国内延迟很高的,我自己目前在 300ms 左右🤮
|
 |
11
luodan 1 天前
家里 NAS 上所有的服务都可以公网访问,也开了 tailscale ,方便使用。十多年,每天都有攻击,但没有被攻破过。
|
 |
12
alen_v 1 天前
都定义为内网服务了,干吗开放到公网?
|
 |
13
yinmin 1 天前
开启 mTLS(双向证书认证)、关闭 no-sni 访问,开放给公网还是很安全的,使用也很方便。
|
 |
14
jixiafu 1 天前
自己用可以开放到 ipv6 上,也不怕被人扫到
|
 |
15
yiranw09 1 天前
走 frp+HTTPS+Web 认证+强密码
个人服务我觉得够用了 |
 |
16
simonsww 1 天前
不要这么干,至少 tailscale ,如果嫌 tailscale 延时高,可以加上微林的 derp 服务,接入国内节点,延时只有 20ms 。
|
|
17
simonsww 1 天前 1
我现在就是这么解决远程控制问题的,通过 Tailscale + derp + windows 的 RDP 来实现,derp 国内节点没有自建嫌麻烦,用的微林的费用是一个月 10 元,Tailscale 解决内网,国内 derp 节点解决延时问题,完美。现在远控延时不到 20ms
|
 |
18
guanzhangzhang 1 天前
@mqnu00 headscale+derp 稳如狗
|
 |
19
vaily 1 天前
公司不好用 tailscale ,只能放到公网😅,两种方案都备上了
|
 |
20
bbao 1 天前
nas 挂公网?,HR 请帮我搜集一下简历,我想换个人。
|
|
21
guanzhangzhang 1 天前
我 ecs 和家里有单体 tcp client+web server 的 10 个进程,通过 web server 界面控制 tcp client 的一些行为,目前就是 headscale 下手机和电脑直接访问内网 ip 控制的,不存在类似映射端口或者 frp 暴漏 windows 的 3306 端口弱密码和被爆破的风险
 ,而且 nat 打动成功率很高,不受中继木桶效应影响 |
 |
22
faker5276 1 天前
cloudflare 套个 CDN ,或者用 tunnel ,也保护了内网的安全
|
 |
23
Aixtuz 1 天前
1. 保密,只能问自己。
2. 给别人解释清楚具体情况,然后问意见。 二选一。 |
 |
24
kiritoyui 1 天前
|
 |
25
itechify PRO 组 VPN ,安全点,网上扫描太多了
|
 |
26
jackmod 1 天前
你一开始搭建服务的时候就没考虑公网,当时漏掉了什么关键操作以及后续必要的连带操作也差不多忘了,这时候突然想丢到公网去,这才是最危险的。
|
 |
27
copperDC 1 天前
3389 我放公网了.被扫到了.凌晨被入侵.中了勒索病毒.GG
别为了图方便.哎... |
 |
28
E263AFF275EE4117 1 天前
我现在的就是 openvpn + mtls ,公网阿里云小水管关闭 22 端口并且仅允许公钥方式登录,唯一暴露端口 openvpn 的 udp 端口。
|
 |
29
hafuhafu 1 天前
搞清楚真实需求呀。
如果实际需求是:只有自己用,要访问家里的服务,那就没必要开放。 你的需求是开放到公网给别人用,才需要开放公网。 虽然开放公网某种意义上是省事,但是就我个人而言,我希望家里的网络环境是“绝对安全”的。云服务器上的服务随便开放无所谓。 |
 |
30
mooyo 1 天前
了解一下 pocket id 。我用 caddy + pocket id 统一暴露到公网,除非软件自己有 BUG ,不然安全性还是很可以的。
|
|
31
mooyo 1 天前
绝对不要一股脑把所有端口都放出去,做个入口统一管理。
|
 |
32
liuzimin 1 天前
@mooyo #30 这个 pocketid 我也在用,目前最烦的就是安卓端兼容捉急。。。首先各种浏览器不对付,然后就算能拉起密码管理器,但一验证始终失败。明明无论扫码还是电脑通行密钥都能验证成功的。
|
|
33
mooyo 1 天前
@liuzimin 走的 webauth 的话,应该是浏览器自己的实现问题。没安卓设备,确实没遇到过这种情况。。。
我在 ios/macos/windows 上配合 bitwarden 还是挺好用的。 |
 |
35
dustookk 1 天前
ss 回家
|
 |
36
yiroonli 1 天前
不懂就问:
VPN 是要 NAS 搞吗?还是有什么路由器可以实现? |
 |
37
sumarker PRO 如果自己用,内网就够了吧
|
 |
38
chenchenze 1 天前
openclash 搞了个 ss 入站,loon 配置好内网分类规则,然后就可以通过 ss 访问内网。
|
 |
39
coconutwater 1 天前
我目前是 tailscale+derp+飞牛 nas
derp 搭建在阿里云 2c2g3m 服务器上,延迟 14ms 左右。 |
 |
40
snoopygao 1 天前
wireguard ,或者 openvpn 啥的
|
 |
41
fanshao19881 1 天前
ddns+反向代理 只暴露一个端口出去算不算安全
|
 |
42
memcache 1 天前
看什么服务了
|
 |
43
kiracyan 1 天前
我只有部分端口对外开放,大多数服务是靠 VPN ,智能家居、Jellyfin 挂了公网,然后博客套了层 CF
|
 |
44
Ipsum 1 天前
自用别放公网,走 vpn 好很多。
|
 |
45
thereone 1 天前
公网内网都可以又不是冲突的,我 VPN 方案也有开放公网也有。自己一般用的 VPN 方案连接但是也部署了公网的方案。
lukcy 打洞+雷池 WAF+NGINX 代理+后端服务 安全方面基本就靠雷池就行了,把黑白名单用上,用户认证用上,地区访问限制用上两步认证用上安全问题基本就解决了。 1 、雷池地区访问我开放了 2 个省的 IP 地址可以访问,其余都直接拒绝访问请求都到不到 NGINX 反代服务器上。 2 、黑白名单默认采取拒绝全部,白名单配合放通的 IP 地址解除访问限制。 3 、然后把用户认证用上,前面黑白名单放通了就会打开用户认证界面,必须输入用户名密码才能打开页面。重要页面比如跳板机还会配置上两步认证保证安全。 |
 |
46
EchoWhale 1 天前 via iPhone
就自己用:vpn
很多人用:公网 |
 |
47
laminux29 1 天前
内网服务发到公网的简单又超高安全的方法:
1.自用服务,用端口敲击技术。这种技术能 100% 防止黑客破解,甚至你用弱密码 + 默认端口都没问题。 2.公用服务,比如博客服务。用独立机器,上面的重要数据,让数据服务器主动向公用服务器进行推送,来进行防御黑客。 |
 |
48
dabai091220 1 天前
@bbao 挂公网也分怎么挂,只是开一个或几个端口 + 开启 fail2ban 类似的功能 + 账户启用 2FA ,挂公网就没问题。
|
 |
50
chen22 1 天前
可以 上 https
|
 |
51
ddczl 1 天前
个人感觉是没有必要
|
 |
52
safari9 1 天前
只开一个 wireguard 端口吧。安全起见
|
 |
53
4seasons 1 天前
内网 NAS 、RDP 还有 Calibre 的服务放公网很多年了,严格管理端口以及鉴权其实没有那么多事情。除了 Calibre 容易被强扫,但是也在控制范围内
|
 |
54
nightlight9 1 天前 via Android
@copperDC 用的弱密码吗
|
 |
55
withoutxx 1 天前
只开了一个 https 大端口,根据域名去访问,看日志没被攻击过
|
 |
56
PrinceofInj 1 天前
@nightlight9 应还是必然的吧?我用 v6 的 3389 直接暴露,v4 的通过端口转发禁用 administrator ,只开微软账号登录,目前还没啥问题,看日志,似乎连爆破的尝试都没有。
|
 |
57
labubu 1 天前 via Android
网站发出来,让我观摩一下(滑稽)
|
|
58
copperDC 22 小时 30 分钟前
@nightlight9 哈哈哈哈.是的.用户名 2 位.密码是一个数字 0.都是为了自己图方便...
|
 |
59
paynezhuang 21 小时 49 分钟前
我是内网部署的多个服务,外加一个 Nginx 做域名映射。开 Tailscale ,然后在本机 host 配置 Tailscale 对应的内网机器 IP + 域名
 |
 |
60
standin000 21 小时 14 分钟前
@yinmin 请教 mtls 认证支持内网各种服务吗?关闭 no-sni 式什么意思?
|
 |
61
wgsgyes 21 小时 1 分钟前
ftp 共享到公网了,存取文件方便些。
|
 |
62
psirnull 20 小时 54 分钟前
可以啊,你买个 waf 部署上。
|
|
63
yinmin 20 小时 31 分钟前 via iPhone
@standin000 #59 mtls 支持所有 tcp 协议,前置 nginx 即可,具体配置问 gpt
|
 |
64
zololiu 18 小时 18 分钟前
公司 IT 直接以安全为由把 Tailscale 给禁了,不得不用公网了。
|
|
65
laminux29 13 小时 47 分钟前
@allplay 重放攻击是非常古老的,针对一点安全知识都不懂的上古程序员了。现在每份通信数据里随便带点时间戳与证书 hash 碎片,就可以防这玩意。
|
 |
67
bbsingao 7 小时 38 分钟前
如果有 ipv6 ,可以开放,反正个人数据加 v6 的大地址池,被黑客盯上的效率低
|
 |
68
idragonet 4 小时 26 分钟前
frp 映射公网+IP 白名单
|
 |
69
ifoto 2 小时 5 分钟前
开放过,中过勒索
|
Select Language