V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
caicaiwoshishui
V2EX  ›  问与答

调查贴:你们的 nas 是局域网访问还是公网访问呀?

  •  
  •   caicaiwoshishui · 100 天前 · 1512 次点击
    这是一个创建于 100 天前的主题,其中的信息可能已经有所发展或是发生改变。

    家里有公网 ip ,目前挂了玩客云这类东西,但是 nas 一直是局域网访问,想问下如果用公网访问需要注意什么?

    怎样才能证明他的系统公网访问是安全?比如用某些漏洞网站去扫描,没问题就可以公网?

    20 条回复    2022-10-31 19:03:17 +08:00
    ltkun
        1
    ltkun  
       100 天前 via Android   ❤️ 1
    VPN
    dcsuibian
        2
    dcsuibian  
       100 天前
    我是群辉,开启了管理控制台和 webdav 公网访问,DDNS 。不过更换了端口+使用高强度密码。

    感觉 mac 上 webdav 不怎么样,所以现在更多是 wireguard 后用 smb 连接访问。(不过不能用 mDNS 了,只能直接用 ip )
    documentzhangx66
        3
    documentzhangx66  
       100 天前   ❤️ 3
    1.内网直接访问。

    2.公网也允许访问,VPN Server 建在公有云,NAS 通过 VPN 主动连接公有云的 VPN Server 。

    3.VPN Server 的对公网端口设置为特殊高位端口号,加 fail2ban 。

    4.VPN Server 关闭 ICMP ,不允许 ping 。但使用特殊高位高端,改为 tcpping 。并且 ping 方要发送特定字符,Server 端才会回应。

    5.公有云的 VPN Server 常用端口设置蜜罐。

    这种做法,对于个人与小型企业,都已经是万无一失了。

    普通黑客的广撒网式的攻击思路,会先进行常用端口扫描,这一步就被蜜罐给拉黑了,更别提后续。
    documentzhangx66
        4
    documentzhangx66  
       100 天前
    改下错别字:

    4.VPN Server 关闭 ICMP ,不允许 ping 。但使用特殊高位端口,改为 TCP-Ping 。并且 ping 方要发送特定字符,Server 端才会回应。
    monzuguan
        5
    monzuguan  
       100 天前 via Android
    owncloud 的 HTTPS 和 webdav 都开放到公网,保持高频更新,包括系统和应用。
    bankroft
        6
    bankroft  
       100 天前
    内网穿透,关闭服务器端口,用的时候再开
    statement
        7
    statement  
       100 天前 via iPhone
    公网直接访问
    yjim
        8
    yjim  
       100 天前
    局域网+VPN

    非必要不建议暴露在公网
    XiLingHost
        9
    XiLingHost  
       100 天前
    公网暴露 wg ,然后远程拨回家访问
    Autonomous
        10
    Autonomous  
       100 天前
    公网 DDNS 直接暴露端口
    91pornshanghai
        11
    91pornshanghai  
       100 天前
    局域网,懒得配置安全问题,所以我买了个海康的小 nas ,把我的文档之类的文件双向同步到海康上面,在外面就直接用海康的 app
    wanguorui123
        12
    wanguorui123  
       100 天前
    公网直连
    FDKevin
        13
    FDKevin  
       100 天前 via iPhone
    局域网,在外 wg 组网(innernet)
    totoro625
        14
    totoro625  
       100 天前   ❤️ 1
    总有些漏洞是未公开的,暴露到公网的越多越不安全
    甚至某天你误开的服务就能被黑,继而破坏整个系统

    clash 分流,在外面时内网域名走 vpn 回家,在家时不走 vpn 直连

    或者 zerotier/tailscale/wg 组网
    yghack
        15
    yghack  
       100 天前
    vpn + 1
    hanguofu
        16
    hanguofu  
       100 天前
    @documentzhangx66 : 请问给 公有云的 VPN Server 常用端口设置蜜罐 有什么常用的脚本或者工具啊 ?
    jakehu
        17
    jakehu  
       99 天前
    公网 IP + DDNS + 端口转发
    luomao
        18
    luomao  
       99 天前
    公网 IP ,软路由 DDNS ,端口号全用的 30000+以上。目前对外暴漏群晖、openwrt 、博客、plex 、homeassistant 等服务。
    目前看群晖上 IP 黑名单能有 2000+的数据,多是欧洲美国的 IP ,目前还没有什么被侵入的迹象
    virualv
        19
    virualv  
       99 天前 via iPhone
    我用的群晖。改了端口,指定高风险国家或地区的 ip 禁止访问,设置密码错误到达指定次数永封 ip ,所有开启外网访问服务 ssl 加密。之前会收到境外 ip 被封禁的邮件,现在已经很久没收到了
    documentzhangx66
        20
    documentzhangx66  
       99 天前
    @hanguofu

    用 nginx 把常用 21 、22 、80 、81 、139 、443 、8080 、8006 等端口,全部监听。

    然后写个小程序监控 access.log 和 error.log ,来一个 IP ,封一个 IP 就行。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   4284 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 45ms · UTC 01:19 · PVG 09:19 · LAX 17:19 · JFK 20:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.