飞牛的漏洞应该让很多人认识到了公网暴露的安全性问题,挺多人推荐通过 VPN 的方式来保护想公网暴露的服务,VPN 的方式安全性肯定很高,但是很多时候也相对比较麻烦,需要安装 VPN 终端,有时还会和科学上网没法共用。
很多人玩 NAS 就是为了部署各种 web 服务,像 openclaw, matrix, memos 之类的,对外暴露本身就是为了方便能随时访问,如果每次访问都还要切 VPN 着实有点麻烦了。
这里推荐另外一种折中一些的方案,通过 frp 穿透把内网服务映射到服务端,注意自建 CA, 启用 token + TLS 双重认证,映射的端口在服务器上禁用掉,然后通过 NPM 来管理二级域名反向代理内网 ip:端口,通过二级域名访问这个服务,开启 https, 同时在 NPM 的 advance 里配置好 authelia 认证,这样直接访问二级域名会跳转到认证页面,认证后可以访问,和正常直接访问没什么区别。通过这种方式可以将所有对外暴露的服务统一管理,很多小众的 web 服务安全性并没有什么保证,但是经过 authelia 叠加一层之后可以减小很多的安全攻击面。
authelia 的服务比较单一,也得到过国际安全标准认证,相对于 github 上各种大小项目,安全性肯定高很多 level.
很多人玩 NAS 就是为了部署各种 web 服务,像 openclaw, matrix, memos 之类的,对外暴露本身就是为了方便能随时访问,如果每次访问都还要切 VPN 着实有点麻烦了。
这里推荐另外一种折中一些的方案,通过 frp 穿透把内网服务映射到服务端,注意自建 CA, 启用 token + TLS 双重认证,映射的端口在服务器上禁用掉,然后通过 NPM 来管理二级域名反向代理内网 ip:端口,通过二级域名访问这个服务,开启 https, 同时在 NPM 的 advance 里配置好 authelia 认证,这样直接访问二级域名会跳转到认证页面,认证后可以访问,和正常直接访问没什么区别。通过这种方式可以将所有对外暴露的服务统一管理,很多小众的 web 服务安全性并没有什么保证,但是经过 authelia 叠加一层之后可以减小很多的安全攻击面。
authelia 的服务比较单一,也得到过国际安全标准认证,相对于 github 上各种大小项目,安全性肯定高很多 level.
 |
1
deepbytes 22 小时 25 分钟前 via iPhone
authelia 叠加一层之后可以减小很多的安全攻击面。
——- 老哥,这个有应用配置的实战方案么,我现在的群晖就是 frp—-NPM—-公网——家里 frpc—-群晖 |
 |
2
Meursau1T 21 小时 7 分钟前  3
我自己体验下来 VPN 还是很舒服,只要在运行 SS 的机器上(可以是 NAS 、路由、台式)上面也配置好梯子就好,然后手机只需要连回家的梯子,一样可以上外网
|
 |
3
Hconk OP 1
@deepbytes authelia 的配置相对麻烦一些,我是挺久之前配置好就一直这么用着,当时 AI 还没有这个强大,折腾了挺久,有些配置命令之类的细节已经记不清了,但是可以把配置发出来给你参考下,让 AI 来指导一下应该很快就能配好,一次配置永久受益,配置好之后只要要在每次增加 NPM 增加域名时在 Advanced 选项里加几行即可。
https://gist.github.com/Hconk/428678f0c5d3fbbe8fa82ecad184aaf5 除了这里面几个还有 authelia/configuration.yml 里根据自己需要填写相应的配置。 |
 |
4
9136347 21 小时 0 分钟前 6
很多人觉得电信不给公网 ip 或者不允许开放公网是限制了他自由,殊不知,这才是保护了 90%的普通人。我看到群里一堆人在热火朝天的讨论飞牛怎么开 ipv6,怎么和 cf 映射,各种奇奇怪怪的姿势的时候。真的觉得无知无畏啊。
|
 |
5
rev1si0n 20 小时 58 分钟前
谁说和科学上网没法共用的?我用 openvpn 回家网络环境和家里网络一样直接翻墙除了 openvpn 什么都不用装,只要确保 clash 和 openvpn 在一台机器上就好。
|
 |
6
hongc 20 小时 55 分钟前 1
目前是 tailscale+自建国内的 derp 中转,远程连到家里的 nas 和开发机器,体验感还不错 打洞成功 90ms 中转 60ms
|
|
7
Hconk OP @Meursau1T 用 VPN 肯定是没什么毛病,安全性也是得到广泛验证的。我说的这种方式也是在保证一定安全的同时多一种选择,比如想把自己家里的服务共享给其他人的时候,又不想让别人装个 VPN 连到自己家里,总有些场景能用上这种方案。 总的来说安全就是一种 trade off ,找到合适的就行。
|
|
8
Hconk OP @rev1si0n 这句说的是不太对,算是口误了,当然只要把代理装家里就行了。不过不知道你们公司是不是允许装 openvpn 客户端,装完连到家里之后内网还能不能正常用。跟直接在本地电脑装 clash 配置内网域名过滤规则的方式相比起来,我觉得在公司里用 openvpn 还挺麻烦的。
|
 |
9
zhlxsh 20 小时 48 分钟前 via iPhone 36
@9136347 跪久了就觉得站着走路头容易撞门框,还是跪着安全。跪着走路才是保护了 90%的普通人
网上被拐卖的妇女那么多,裹小脚出不了门就不会被拐走,裹小脚才是保护了 90%的普通人 性侵案频发,割蛋能防止性犯罪,还能获得长寿,当太监才是保护了 90%普通人 |
|
10
Meursau1T 20 小时 38 分钟前
@9136347 现在都有公网 IPV6 地址,开端口一样是有风险的,但因为 IPV4 长期没有公网,很多人意识不到而已。该解决的安全问题始终要解决,不可能依赖 NAT 。
|
|
11
9136347 20 小时 13 分钟前 3
@zhlxsh 你的类比就是典型的张冠李戴,如果可以这么类比的话,那我们完全不需要法律,不需要警察,不需要法院,大家都自由被,何必保护 90%的普通人呢。自生自灭,死掉一波活下来的不久知道了吗。
你这是典型的以一个从业者或者自以为清醒的视角在俯视普通人,傲慢且毫无礼貌。 |
|
13
9136347 20 小时 10 分钟前 1
@zhlxsh 真正的清醒的人,应该是俯下身子,去以最普通的视角去,去理解别人的做法。而不是自以为自己清醒且高尚,把自己 YY 到高处,然后指指点点。
|
 |
14
jayhuang0044 20 小时 6 分钟前
@9136347 #12 给 IPV6 打脸,临时找补呢? 普通用户 IPv4 在猫那不也断开
|
 |
15
est 19 小时 58 分钟前
五个字:
客户端证书 |
|
16
9136347 19 小时 53 分钟前
@jayhuang0044 你都没看清楚我和别人在讨论什么话题,说的是什么事儿。
|
 |
17
jpyl0423 19 小时 42 分钟前
目前只对没有用户名和密码保护的网站上了 authelia
|
 |
18
allplay 19 小时 32 分钟前 via Android 3
@9136347 你以为你这样是保护了某些人,但同时,这样也在侵犯另一批人。
回顾多年前 adsl 拨号时代,每台电脑都是直接上公网,聪明点的玩家还知道自己弄个路由器来拨号。那个时候的家用级路由器就有简易的防火墙,要怎么玩,用户自己明白。 电信给你 nat 一下就天生安全了吗?安全是个动态概念,即使你不被扫 ip 扫端口,但现在面临的安全威胁比 10 20 年前更加多样化。 电信 isp 只不过是在 ipv4 稀缺情况下的权宜之举,而你却当起了电信的鹰犬,自动为他摇旗呐喊,还觉得自己有道德优越感了。 |
|
19
jayhuang0044 19 小时 30 分钟前 1
@9136347 #16 我看你没搞清楚,
你也知道分 普通人, 不用公开服务 不用映射的 普通人给公网 ip,有什么危险? 需要公网 ip 需要映射的人,风险自己承担. 公网 ip,只是一种资源,只是一个工具 你非要说非公网 ip 更安全,那你说的对. 但是对普通用户安全高多呢! 根本相差无几!!! |
 |
20
Greenm 19 小时 29 分钟前
我选择用 CF tunnel ,还不需要公网,有个域名就行。
|
 |
21
devjia 19 小时 27 分钟前
感谢分享, 套一层的思路也挺好的. 不过 VPN 方案的话借助支持分流的工具也能做到接近无感访问家庭内网
公网 IP + VPN + Surge: 根据 WIFI 名字和路由来判定走直连/网关, clash 系列应该也能实现这个效果, 个人比较熟悉 Surge, 大概配置如下: ``` [General] skip-proxy = 需要排除局域网网段, 比如: 10.0.0.0/24 [Proxy] HomeGateway = snell, DDNS_HOST, PORT, PSK, Version [Proxy Group] Home = subnet, default = HomeGateway, "SSID:WIFI_A" = DIRECT, "SSID:WIFI_B" = DIRECT, "ROUTER:10.0.0.1" = DIRECT [Rule] IP-CIDR,10.0.0.0/24,"Home",no-resolve ``` |
 |
22
skiy 19 小时 25 分钟前
Logto 好看好多,也方便很多,但是 BUG 很多。
|
 |
24
otmself 19 小时 22 分钟前
@jayhuang0044 每个人真的可以做到风险自己承担吗?我看撒泼耍赖的还是多数
|
|
25
otmself 19 小时 20 分钟前
@jayhuang0044 真正想搞的,还是拦不住
|
|
27
jayhuang0044 19 小时 16 分钟前
|
|
28
allplay 19 小时 16 分钟前 via Android
你自己在高速路上开爆胎了能找高速路怪他们没有预料到你翻车的地方先铺好床垫?
|
|
29
9136347 19 小时 15 分钟前
@jayhuang0044 "普通人给公网 ip,有什么危险?" 你到底是有多无知才能说出这样的话。
|
 |
32
jocover 19 小时 12 分钟前
怎么保护有 ipv6 公网地址的设备?
|
|
33
jayhuang0044 19 小时 11 分钟前
@9136347 #29 请举例.
|
 |
35
yulgang 19 小时 10 分钟前
auth_basic "Restricted Area";
auth_basic_user_file /etc/nginx/.htpasswd; 。。。。 |
|
36
9136347 19 小时 10 分钟前
@allplay 哥们,真的,这就相当于我给你说 1+1=3 是错的,你非要问我为什么是错的,一个道理。你说一个 windows 直接暴露在公网有啥危险?你真的给我一种无知无畏还无理取闹的感觉。
|
|
38
otmself 19 小时 9 分钟前
@jayhuang0044 你不要把你自己的标准拿来看所有,在村里就这个现状
|
|
41
otmself 19 小时 7 分钟前
没必要讨论现状了,拦不住的总有办法,当然,我也是基于我自己能自己负责的情况下说的
|
|
42
jayhuang0044 19 小时 7 分钟前
@otmself #38 你先把 "什么时间 什么地点 什么事情 什么原因 找谁撒泼耍赖! " 说清楚了...
|
|
43
9136347 19 小时 7 分钟前
@allplay 不是哥们,你真的没意识到把自己的 windows 系统直接暴露在公网有什么问题吗?真的假的?你真的理解不到这个,我有点怀疑 v2 上面的用户的水平了。
|
 |
44
cxin3813 19 小时 6 分钟前
 家中的服务当然是通过家中的代理访问,挺方便的 |
|
45
allplay 19 小时 5 分钟前 via Android
@9136347 那我告诉你,勒索病毒 WannaCry 肆虐的时候,中毒最多的恰恰是那些自以为安全的内网机器。那些直接联网的保持更新的机器反而没事。
|
|
47
jayhuang0044 19 小时 3 分钟前
@9136347 #43 系统直接暴露在公网, 风险高,我认同你.
但 2026 年一个普通人能做到把系统直接暴露在公网吗? |
|
49
otmself 19 小时 2 分钟前
@jayhuang0044 我说这句话的原因是基于看到村里其他事件的发生过程来说的,就针对你说的自己为自己负责这句话
|
|
50
9136347 19 小时 1 分钟前
@allplay 不是哥们,你真的是屁股决定自己的脑袋,为了口嗨是连基本的常识都不管了吗。你要知道直接把 windows 机器暴露在公网,一个 0day 就可能团灭好多机器,更何况还有那些自以为是的一直坚持用老版本的,或者自己以为按了防火墙活在搞一堆稀奇古怪的软件的。这些最基本的安全常识你应该有吧?还微软的工程师,要是微软的工程师那么靠谱,还能有这么多今天补丁崩了,明天 0day 了哟。
|
|
51
allplay 19 小时 0 分钟前 via Android
@jayhuang0044 在市场上最常见的情况下,稍微需要一点点技能,把光猫里设置 dmz 给 Windows 主机。
|
|
52
9136347 19 小时 0 分钟前
@jayhuang0044 系统暴露公网,这个不是我说的,这是 @allplay 这个哥们要干的事情。
|
|
53
jayhuang0044 19 小时 0 分钟前
@cxin3813 snell 用容器吗 有链接吗
|
|
54
allplay 18 小时 59 分钟前 via Android
@9136347 我前面已经说了,你还不明白,我又给你重复一遍:勒索病毒 WannaCry 肆虐的时候,中毒最多的恰恰是那些自以为安全的内网机器。那些直接联网的保持更新的机器反而没事。
|
|
55
9136347 18 小时 57 分钟前
@allplay 你的逻辑都是错的。我来帮你缕缕“勒索病毒 WannaCry 肆虐的时候,中毒最多的恰恰是那些自以为安全的内网机器。那些直接联网的保持更新的机器反而没事。”
这句话的核心,真的防住病毒的核心到底是“内网”和“联网”的差异。还是因为“自以为安全”和“直接联网”的关系?你把保持更新带来的安全收益,套到了“联网”上面。换个角度,我是不是说,内网的保持了更新的机器,更安全呢? |
 |
56
mengdodo 18 小时 56 分钟前
一直想找一个代理工具,对外释放一个随机 url ,可以隐射到主机的 3308 数据端口
|
 |
57
wangritian 18 小时 56 分钟前
@9136347 你真的意识不到自己的无知和傲慢吗
|
|
58
allplay 18 小时 56 分钟前 via Android 2
@9136347 没错,就是要暴露。理由是我花钱了,运营商把权益还给用户。
至于用户怎么用这个 ip 和端口,是用户自己的事情。不需要你给电信当鹰犬,用为你好的理由剥夺用户。 |
|
59
Meursau1T 18 小时 56 分钟前
@jocover 没开端口的话不影响,默认挡住所有入站。
开端口的话,最好只开一个,比如 SS ,设置强密码和特殊端口,然后从外部代理回来,访问本地服务。防火墙可以用卡巴斯基标准版的,闲鱼 20 多一年而已。如果选优选版的话 30 左右,能连带保护内网的智能家具,挺不错的。 |
|
60
allplay 18 小时 53 分钟前 via Android
@wangritian 他没有傲慢。他是真诚的认为是对的
|
|
61
9136347 18 小时 51 分钟前
@wangritian 你如果要说我无知,请问我哪里说错了?你要是说我傲慢就等同于一个不讲道理的女人“你干嘛这么大声”
|
|
64
9136347 18 小时 48 分钟前
@allplay 说来说去,你不就是想扯什么你的权益啊诸如此类的破事儿吗?你要公网 ip 你可以找运营商申请啊,你现在买的价格就是没公网 ip 的价。没说不给你办公网 ip 啊。你不能说你既要网络快,又要公网 IP ,又要价格便宜,既要又要吧。
况且,现在的宽带,就是针对普通大众的,你有更高的需求,你可以去花更多的前买啊。你不能把你自己的需求,绑定到普通用户身上来裹挟别人,显得自己声量大啊。 |
|
66
wangritian 18 小时 40 分钟前
@9136347 继续跪着吧,你的小脚裹得挺好的,从第一个回复就开始阴阳怪气,不值得别人和你正常沟通
|
|
68
9136347 18 小时 37 分钟前
@wangritian 我给这个哥们讲了半天的道理,从网络安全扯到消费者权益,你上来就给我带个帽子“阴阳怪气”,还是你就是个喷子。另外,如果说逢“中”必反,认为只要是涉及到 gcd 的政策之类的就是一律十恶不赦,只能说明你幼稚。
|
 |
71
Cuhn1 18 小时 30 分钟前 1
@9136347 啊?普通人又不搞端口映射,给公网和不给公网给普通人使用有什么区别,请你指教一下。按照你的说法,应该是保护了 90%有点能力又喜欢动手的那一小批人。
|
|
73
allplay 18 小时 27 分钟前 via Android
@9136347 还有什么 Microsoft update 和 security 没有覆盖到的?说出来,可以给微软工程师当老师。
|
|
77
skiy 18 小时 22 分钟前
@Cuhn1
主要是,是个人都能弄个对外服务。想开时就开,想关时就关。放个 H 图、H 视频,然后发给别人看。随时可开可关。IP 还是动态的。追查成本高。不要高估人的底线。有人利用 QQ 引诱幼女拍裸照的新闻前不久还刷到过。 至于被利用,这个肯定也有。连手机都有被人家远程操作的新闻,更何况网络。拿到控制权后,一堆家用摄像头什么的,估计也不可能幸免。 |
|
78
9136347 18 小时 21 分钟前
@Cuhn1 不给公网 ip ,是相当于是在源头就掐断了 99%可能存在的网络安全风险。至于你说的不搞端口映射就不会有安全问题,其实不尽然,因为你不知道你的猫上面是什么情况,有没有安全风险。况且你真的相信运营商那个光猫的安全性吗。
有了公网 ip ,相当于贼知道了来你家的路。来了你的家门口,他怎么偷偷的进屋子就说不好了。 另外前几天不是才有个新闻吗?“Google 发起行动 牵头打击全球最大住宅代理网络 IPIDEA”,这里面不一定和有没有公网 ip 直接挂钩,但是家庭宽带的网络风险,比大家想象的多得多。 |
 |
80
xloger 18 小时 18 分钟前
好好的一个技术分享贴,怎么总有人万物转意识形态。
感谢楼主,学习了。 |
|
81
jayhuang0044 18 小时 17 分钟前
|
 |
83
ff521 18 小时 16 分钟前
这就是现状,所以我一直推荐所有人润,移民美国
|
 |
84
cccer 18 小时 15 分钟前 1
对于 ssh ,高位端口+禁用密码登录;
面板服务,在 nginx 加一层 auth_basic 验证; 不支持 auth_basic 的服务,可以防火墙禁用所有入站,然后通过 https url 敲门后放通指定 IP 24 小时; 至于 ipv6 ,我的 Windows 3389 端口一直开着,至今没收到被扫描的日志,每天轮换 IP ,只要 ddns 域名不被发现就行,也懒得做防护了; 上面应该足以应对大多数 0day 鉴权漏洞 |
|
89
9136347 17 小时 58 分钟前
@allplay 所以呢,你认为普通人就应该承担这个风险吗?本来 99%的人都没有公网 ip 的需求,自然也就没这些风险。你有这个需求,你自己单独去运营商买呗。为啥非得来带这些节奏,非得给你开公网呢?
“ 我甚至不需要看,这些漏洞要找还很多”,你不是信任微软的工程师,要我找例子出来吗?我给你找出来了,你又“不能因噎废食”来? |
 |
90
chinni 17 小时 55 分钟前
cloudflared + zero trust 就行了。对我来说足够方便
|
 |
92
wonderfulcxm 17 小时 49 分钟前 via iPhone
开 VPN 还是不方便的,特别是在 iOS 下只能开一个 VPN 的情况下,科学上网与家庭网络二选一,我想了一办法,还是在家里 nas 架一个 xray ,协议用 reality ,如果没有公网,就用 frp 或 nps 把它映射到 vps ,国内 vps 厂商估计也不会针对 reality ,再用 qx 或小火箭分流连回来,就能同时上网和科学了。
|
 |
96
zlbruce 17 小时 45 分钟前
本来是进来看怎么配置 authelia 的。
不过看到这么吵,有些人真是为了辩而辩。 本身安全就是多个维度的东西,给了公网 ip 本来多了一个攻击面,很显然比没有公网 ip 要更不安全。 有些人通过其他手段来保证自身的安全性,这些手段在没有公网 ip 的情况下依然可用。并不能说明什么。 至于给不给公网 ip ,是不是侵犯了用户的权益,其实是另一个问题。 |
|
97
allplay 17 小时 44 分钟前 via Android
@jhdxr 没有特别加固的话,Windows server 和家用环境安全程度是差不多的。所以我说 Windows 直接拨号上网。
|
|
98
jocover 17 小时 40 分钟前
@allplay 上海电信云宽带是没有 ipv6 防火墙的,可以通过 pcdn 或者 BT 下载拿到对端 IP ,然后就随便连了。不过 windows 有公网防火墙,nas 下默认 docker 服务禁 ipv6 服务,以前都没什么玩的,只能说这次感谢飞牛了
|
|
99
wonderfulcxm 17 小时 36 分钟前 via iPhone
@rev1si0n 那是不是你访问任何网站都要先回家?
|
 |
100
COW 17 小时 34 分钟前
本来是来学技术方案的,还没看几楼评论,怎么就扯到跪不跪上面去了,还有让人移民的...服了
|
Select Language