请教一下 Openwrt 端口转发安全性

1 、不要开 web 转发，更不要 ssh 转发。风险高，高位端口并非核心
2 、推荐操作是，开一个端口，然后路由器开一个代理服务端（常见插件都自带，tailscale 等类 WG 组网也类似）。
3 、在设备端，把本地局域网 IP 做分流，全部走家里的代理。这样就实现了不暴露转发的情况下，完全在家的体验。
4 、再补充一个点，配合 Nginx Proxy Manager 等反向代理，在路由器和设备端，写通配符 hosts ，可以实现足够短的私有域名访问，很爽。比如 nas.home router.home 。

不要听 1L 的， 只要不要用弱密码，或者用口令访问， 端口随便开， 不会有安全问题，SSH 这些服务本身不太可能存在零日漏洞， 放宽心吧。 不建议开放 web 端口， 主要是怕运营商封公网 IP ， 不是因为安全问题。不要因噎废食， 怕这怕那的影响使用。

@yt1988 这样做是不是类似于加了虚拟路由器/防火墙的感觉

@StinkyTofus 我没有开网页或者 SSH ，主要是怕扫到远程桌面端口，登陆机器啥的

@StinkyTofus #2

首先我只是提供一个思路，供 LZ 选择。

其次我这个思路的核心在于大多数需求比如 3389 、http 、https 甚至非加密的流媒体的流量都有特征，通过打洞回家，可以消除掉大多数的特征，降低被运营商发现的概率。

对于大多数接入家庭网络的需求来说，更安全。

@xtynoj #4 扫到就扫到呗，多大的事，全球那么多暴露在公网的服务器，不还是都用的一样的端口嘛。只要做好“不用弱口令”这一条，有啥好担心的

密码尽可能复杂，尽量不使用 administrator 这个账号，并且锁定不能用这个账号登陆，基本就没啥问题

要放 ssh 就用私钥认证，不然别开
web 尽量不要开免得被运营商扫到请喝茶
rdp 最好别开，除非你做了双因子认证（例如 duo ）
最好的方式是 vpn 回家，tailscale 、zerotier 、自建 openvpn 等都行