请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
之前因为 ZeroTier 和 TailScale 都没法打洞成功,配置过 CF Tunnel 速度也很感人。因为手头有个 VPS ,日常延迟大概在 150-200ms 之间,所以考虑通过 VPS 部署 FRP 映射 Nas 的服务到公网
原本我准备采取 Gemini 推荐的方案:用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口
https://v2ex.com/t/1177457 但是上午看到这个帖子,有点吓到我了,因为准备的方案和这个帖子里的做法基本是一样的。是不是这样配置还是不太安全?
Nas 上部署了 bt webdav 图床 博客 plex 这些业务,这里的服务除了博客以外,访问都必须登录。如果通过 FRP 暴露到公网,会导致我的 Nas 数据有风险吗
第 1 条附言 · 23 小时 38 分钟前
我现在访问我的域名默认走的 vps 上搭建的科学上网的代理,如果后续配置的时候,限制只有走这个代理的才能访问,是不是就没问题了?
 |
1
m3mcpy 1 天前
推荐 Pangolin
|
 |
2
yikedianzi 1 天前
不好,要花钱,不方便,看你这个 ping 值,我感觉还不如老老实实 CF Tunnel 要稳一点。
|
 |
3
ChicC 1 天前 via iPhone
ipv6 直連
|
 |
4
yannxia 1 天前
Web 服务有漏洞就会被利用,很正常, 我有公网 IP 跑了几年,没被攻击过,主要还是要记得升级。
|
 |
5
neetz OP @yikedianzi CF tunnel 太不稳了,经常 500ms 以上了
|
 |
6
SenLief 1 天前 via iPhone
我是用 ipv6 ss 回家,不想让 nas 暴露在公网。
|
 |
7
psllll 1 天前  1
试试 frp 的 xtcp
https://gofrp.org/zh-cn/docs/features/xtcp/ |
 |
8
ntedshen 1 天前
日常延迟大概在 150-200ms 之间。。。
这种延迟 frp 中转怕是能给你干到响应 1s+。。。 |
 |
9
zyq2280539 1 天前
还好吧,我自己的一些服务就是用腾讯云做中转的,而且全部都部署了 https ,每个业务一个子域名,还是挺方便的。就是延迟有点高,第一次白屏时间长点,打开以后浏览器有缓存了后面基本就是秒开了。
|
 |
10
AkinoKaedeChan 1 天前 via iPhone
mTLS 认证,或者直接用 OSS (比如 Authentik )做反代。
TLS 不必说,主流的 OSS 代码也经过较为严格的审计。 不过既然可以接受 VPN ,用 TailScale 的 DERP 中转也没啥问题吧… |
 |
11
ETiV 1 天前 via iPhone
|
 |
12
Jacksu 1 天前 1
做好安全问题,一般没啥问题。
1 、防火墙层面仅允许中国 IP 访问(反正你在国内) 2 、nginx 配置一下仅允许指定 host 访问(杜绝 IP+端口访问,不随便公开访问的子域名就很安全了) 3 、映射的内网服务都要有鉴权,不要不设密码或者超简单。 |
|
13
AkinoKaedeChan 1 天前
还有点,因为证书透明度机制,所以其实申请公共 CA 的 TLS 证书中的 Common Name 和 Subject Alternative Name 是完全公开的,实测会有扫描器来扫。
|
 |
14
holoto 1 天前
nas 和服务器 用 ZeroTier 和 TailScale 组网链接,然后在服务器上 socat 转发 nas 端口到服务器本地 。其他设备直接组网 链接服务器转发的这个端口就行。服务器记得设置 ufw 防火墙 端口限制区域访问 这种最安全了
|
 |
15
PerFectTime 1 天前
前端用公有云的 VPS, 通过 n2n 连接到家里, 所有的服务都通过 n2n 的内网地址在 VPS 上配置反向代理, 且所有非公开服务前端必须要套一个 oauth 认证, 如果确定有 api 需要公开, 再设置例外, 可以用 authcrunch+caddy+auth0
|
 |
16
syuraking 1 天前
建议 tailscale ,可以直接不需要开任何其它端口
|
 |
17
SSang 1 天前
你只要暴露公网,就不安全,真要黑你,防不住的。不是你用什么姿势的问题,是如果你的软件本身就有漏洞,那你怎么防搞他都有漏洞。
但是不要因噎废食,第一全网的扫描不会做很复杂的操作,又不是定向爆破,不要怕,第二,大部分出名的软件都经过市场检验的,而且大家都在用修复的也快,你看像 dify 这种,一爆出漏洞马上光速修复了。 你要做的是就是重要做好备份,敏感数据做好加密,就行了 |
|
18
SSang 1 天前
还有 frp 真的水管太小了,有条件还是 ipv6 吧
|
|
19
SSang 1 天前
你要更安全一点,那就是 VPN ,SS 代理,这种要转一层回去的
|
 |
20
PeterTerpe 1 天前 via Android
考虑过 cloudflare 免费的 tunnel 吗?不用管证书还可以加 waf
|
|
21
PeterTerpe 1 天前 via Android
@PeterTerpe #20 唯一的缺点是有文件大小上传限制,好像是 500mb 左右吧,也跟上传策略有关系,分块上传应该没有问题
|
|
22
PeterTerpe 1 天前 via Android
不好意思没认真读题
|
 |
23
PrinceofInj 1 天前
事实上,只要设置一个强密码,没有漏洞,普通人直接暴露公网没任何问题,毕竟就一个平常的常见服务登录网页,别人为什么要从千千万万个里面挑出你的来特意攻击?我的 NAS ,路由器( openwrt )还有各种服务,全都公网直接暴露,统统设置的强密码,后台时不时就能看到有人尝试登陆,尤其是 openwrt ,因为用的是 8443,经常见尝试登陆的日志刷屏,目前为止依然安全。大概接近十年了吧。
|
 |
24
MADBOB 1 天前 via iPhone
我是群晖,5001 直接上公网,做好安全策略,多次失败直接禁 ip ,用了 7 、8 年啥事没有,成熟的 nas ,web 没有这么多漏洞的
|
 |
25
dobelee 1 天前
mark 一下,我也在研究这个方案。不太想手机连内外 vpn 太麻烦。
|
 |
26
jinlong 1 天前
我的办法是先部署雷池 WAF ,开启人机检测+访问密码。雷池再反向内网的相关服务,这样没访问密码,扫描器也没用,哪怕访问你域名也无法访问后段服务。
|
 |
27
01802 1 天前 via Android
要是自己或几个熟人用,wireguard 回去就好。
|
 |
28
canteon 1 天前
回源用腾讯云 edgeone ,国内备案的域名不限速
|
 |
29
Actrace 1 天前
ts 打洞成功率应该不低,就算打洞失败也能用 derp 中继。唯一的问题是官方的 derp 服务器都在海外,速度感人。我目前的做法是去微林订阅国内的 derp 服务器,能有很好的改善。
至于 frp ,内部服务不推荐用 frp 暴露到公网,安全性是个大问题。 |
 |
30
ahu 1 天前
@SSang #18 嫌水管小的,可以看看这个⬇️ 我也是才解决的😁
https://www.v2ex.com/planet/chineseguy.sol/87DE0738-E253-4F2A-A190-8B589BCAA036 |
 |
32
hookybaby 1 天前
突然想起一句话,安全是相对的,你的 nas 能提供什么价值对于他人,如果没啥价值,可以说,很安全。
|
 |
33
ejz2i1l 1 天前 via Android
其实可以试着用 xray 的 bridge 、portal 实现反向代理,目前基本封不了
|
 |
34
le4tim 1 天前
看到身边挺多人还在用 frp ,我真想推荐下我开发的代替品 gonc(点对点,不用服务器中转)
https://v2ex.com/t/1169787 |
 |
35
imydou 1 天前
我现在用的方式是路由器开 wireguard ,除了家里路由的 wifi ssid ,内网网段全部走 wireguard 。走到哪和在家里一样
|
 |
36
jasonyang9 1 天前 via Android
@hookybaby 有价值的,别人可以把文件加密锁了然后勒索你,这就是你的 nas 能提供给他们的价值😂
|
 |
37
W3Cbox 1 天前
可能会有公安上门的取证
|
 |
38
nkidgm 1 天前
你是国内家宽部署 web 服务的话,就算改端口,也会被运营商屏蔽的,服务活不长时间。
有条件还是上 VPN 吧。 |
 |
39
Huelse 1 天前
可以但风险巨大,而且这个延迟使用体验也差点意思,带宽也是个问题。
|
 |
40
coolcoffee 1 天前
能部署 frp 中转,那就一定可以部署 tailscale derper 中转。
frp 的直接暴露和裸奔没有本质区别,stcp 需要客户端进行安全连接的便携性还不如 tailscale 。 |
 |
41
zhady009 23 小时 59 分钟前
@PrinceofInj 强密码也不能保证,只要你有地方可以接收不被信任的输入到后台(比如浏览器上的路径),处理有点问题可能出漏洞
|
 |
42
tsja 23 小时 58 分钟前
我暴露了半年时间,同时把 windows 远程桌面也 frp 了,有人会破解密码,但是没遇到攻击的安全问题
|
 |
43
zjyl1994 23 小时 49 分钟前
你的走国外兜一圈延迟太大了,体验非常差,我现在买了个同城的 vps 能压到 8ms 的延迟。
至于安全性,没什么区别,有备案域名的就反代+forwardAuth 挡一下。没有备案域名老老实实用 vpn 拨回家,要不然很多东西不够扯皮的。 |
 |
44
jeanz 23 小时 41 分钟前
ipv6 开一个 udp 端口自建 wireguard ,通过这个连回家
|
 |
45
bankroft 23 小时 31 分钟前
有 v6 用 v6 ,没有 v6 试试 stun 比如 natmap 这一类的软件。内网部署 ss 然后只开放 ss 端口
|
 |
46
laminux29 23 小时 29 分钟前
其实 IP 地理白名单能拦住 99.99% 的攻击。意思是,只允许你所在的地区的 IP 访问。
|
 |
47
gongquanlin 23 小时 27 分钟前
试试三方 Frp 呢。我还没试过,等服务器过期了试试。比如樱花 frp
|
 |
48
totoro625 23 小时 6 分钟前
@ahu #30 给你安利一下阿里云 T6 ,没券 3.3 元/月,有券几乎不要钱 /t/1161762
|
|
49
totoro625 23 小时 2 分钟前
限制只有走这个代理的才能访问,基本上是不会有问题的
需要注意的是,docker 应用默认是能突破防火墙的 配置完之后,可以使用其他 IP 自检一下 |
 |
50
Esec 23 小时 0 分钟前 via Android
国内也到处都有一堆探针,三网天然的抗投诉避风港导致坏人不比机房少,有 ipv4 的该加密码加,加不了的宁可不开端口麻烦点手动映射到本地
|
 |
51
bbbb 22 小时 37 分钟前
我这样暴露的,使用泛域名(*.x.xxx.com ),nginx 默认配置了一个不重要的证书,默认访问 IP ,会命中这个证书。
真正的域名证书不会返回。 我还部署了 ttyd 这样的服务,直接是 sh.xx.com 的域名,但是,路径使用随机字符串/xxxx 才能访问,直接 https 裸奔。 整体这样七八年了,目前一点问题都没有。之前不这样配置,总是有 IP 来扫描,现在这样配置,一个都没有。 还有另外一个方法,配置分流代理回去。 |
|
52
PrinceofInj 21 小时 45 分钟前
@zhady009 真被打了也就认了,反正重要东西都有云端备份。还是我说的,只要不是通用的 0day 漏洞,凭什么单单把我的从千千万万一模一样的登录页中挑出来搞我,你说对吧。
|
 |
53
opengps 21 小时 44 分钟前
暴露公网必然就有风险,各种被尝试
|
 |
54
sicifus 21 小时 33 分钟前
装飞牛 OS ,
1 )凡是通过 Web 页管理的应用(不管是自带的还是第三方 docker )都可以用 fn-connect 穿透; 2 )对于纯客户端的应用,用第三方反代/转发服务如 frp 、一堆免费的内网映射服务、cf-tunnel (需自备域名)等 |
 |
56
guanzhangzhang 19 小时 43 分钟前
如果 ecs 在国内,可以试试 headscale
|
 |
57
smileeast 19 小时 30 分钟前
用 easytier ,非常推荐,之前用的 tailscale ,不稳定,这个 easytier 好用的多
|
 |
58
colourfulsai 18 小时 58 分钟前
|
Select Language