关于公网环境下内网穿透的问题,求指导

200 天前
 tzlovezaq

一直听说公网 IP 很香,我这八线小城市以前一直以为没希望申请下来的,没想到打电话给联通一个小时就给开通了,再联系宽带运维师傅光猫改桥接,一天的时间竟然就成了“公网用户”。 而且,我也有个域名,域名服务商是腾讯云,现在托管给了 cf 。 必须得搞点事情,现在最担心的是安全问题,因为之前内网穿透都是无脑的比如 tailscale 、cpolar 这些,有了公网后,大家的方案大概是

请大家帮我斟酌一下。

还有一个非常不入流的小白问题,有公网 ip 后,我现在用光猫改桥接,路由拨号后,只要路由器不做端口映射,是不是就不叫暴露了自己的内部端口,也就不存在安全问题。

3178 次点击
所在节点    宽带症候群
42 条回复
killerv
200 天前
我在 ipv6 上开了一个 webdav ,不知道会不会被查……
tzlovezaq
200 天前
@Laoz666 危险说的是被运营商干掉,被攻击啥的我倒是不在乎,毕竟只是像看看家里的 nas 啥的,没啥重要文件
huangdog
200 天前
@tzlovezaq 给你连回自己家的 NAS 拿东西
myxingkong
200 天前
如果你是苹果用户( Mac + iPhone )的话:

1.内网搭建一个 WireGuard 服务,并且将服务端口映射到公网。
2.购买 Surge ,配置好代理信息以及回家规则(指定 IP 段请求走回家节点),配置存放在 iCloud 中,这样 Mac 和 iPhone 可以共用一份配置。
3.(可选)将内网服务的 IP 地址 配置到域名上(例如:Nas 服务:nas.example.com => 192.168.1.xxx ),这样就不需要记每个服务的 IP 地址 了,并且浏览器输入域名的前几位就会自动补全。

以上是我目前的配置,配置完基本无感知回家,支持直接挂载家里 Nas 的 Smaba 服务,也支持 RDP 远程桌面 和 SSH 。并且如果使用临时电脑时也可以下载 WireGuard 的客户端回家。
Rookiewan
200 天前
我是使用 tailscale 组网,也是有公网,在自己的 nas 上自建了 derp 服务,然后暴露出去,所有设备通过自建的 derp 服务中转(不知道为什么不触发打洞,可能跟我关了 ipv6 有关系)
目前使用正常
lingo
200 天前
有公网 ip ,但是用了 tailscale 之后,就基本没用过这个公网 ip 了
Laoz666
200 天前
@tzlovezaq #22 那就直接 tailscale 就好咯 ip 都不用管 ts 直接帮你打洞了 有公网 ip 相当于直连 下载速度=你的上传速度
hahiru
200 天前
扫不扫看地区。我搭了低端口 web 、网盘、bitwarden 。
而且 x 上还有我网盘被人扫到的网盘文件直链。
chinanala
200 天前
安全主要指的是不被运营商扫到停宽带。

建议在软路由层面,设置 IP 白名单列表,只开放自己日常几个网络环境下的/24 。

每月流量不多的话可以套 CDN ,这样就不用高位端口了,软路由只允许 CDN 的 IP 入站。

或者买台国内 affman 的 NAT 转发机,成本低,关键不用担心被停宽带。
Djlion
200 天前
我家就映射出了一个 ssh 端口,在公司电脑上通过 MobaXterm 创建 SSH Tunnel ,在浏览器用 SwitchyOmega 配置好代理,可以访问家里的各种 web 服务,目前对我来说基本就足够了。
MeteorVIP
200 天前
@Djlion 我也是,1,SSH 端口.2,BT 端口.3,hysteria2 端口.
986244073
199 天前
老哥现在用啥方案呢
tzlovezaq
199 天前
@986244073 第三种方案,只在路由器上映射 NPM 的高位端口。
全都用 npm 和 cloudfare 做了 ssl 证书,只用 https 访问,如果被扫描到了,我就认了!
就我自己在外面看个小片片,不至于逮我进去吧。
我 append 的那个问题,是因为我在群晖上部署了 openwrt 旁路由,并且群晖走了旁路由网关所以路由器无法映射出 npm 端口,现在可以了。
外网访问非常丝滑,看 4khdr 都不卡,下行速度峰值 18m/s ,舒服了。
其他没有登录页面的,或者常见端口的服务,都通过 tailscale 来访问,也挺快的。
tzlovezaq
199 天前
@chinanala 靠谱,我研究一下。
tzlovezaq
199 天前
@lingo tailscale 确实快,而且简单易用,我现在拿 tailscale 作为补充。
tzlovezaq
199 天前
@hahiru 卧槽,哥们,你这个就有点吓人了,要不要还是封锁一下。
jqyang
193 天前
@povsister 这么严格的吗,弄个公网 ip ,映射一下 Home Assistant 的 8123 端口这种也不行吗(可以登陆管理界面)
tzlovezaq
193 天前
@jqyang 反正我 NPM 反代,只对外映射 NPM 的端口,然后反代出来很多服务了。bitwarden 、jellyfin 啥的,现在还没啥问题。
jqyang
192 天前
@tzlovezaq 不懂就问,那 NPM 的 80 端口不也是 http 页面吗?电信也能扫到吧
tzlovezaq
192 天前
@jqyang NPM 反代自己,用高位端口,家庭公网 80 端口本来就是不能用的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1046883

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX