请教一下 Openwrt 端口转发安全性

204 天前
 xtynoj
目前的情况:有公网 ip ,DDNS 了一个域名,端口转发也尽量用了高端口
想请教一下,我打开了 windows 的远程桌面和 smb 服务的端口转发,会有比较大的风险,或者容易被扫描到或者被攻击吗?
1147 次点击
所在节点    OpenWrt
8 条回复
yt1988
204 天前
1 、不要开 web 转发,更不要 ssh 转发。风险高,高位端口并非核心
2 、推荐操作是,开一个端口,然后路由器开一个代理服务端(常见插件都自带,tailscale 等类 WG 组网也类似)。
3 、在设备端,把本地局域网 IP 做分流,全部走家里的代理。这样就实现了不暴露转发的情况下,完全在家的体验。
4 、再补充一个点,配合 Nginx Proxy Manager 等反向代理,在路由器和设备端,写通配符 hosts ,可以实现足够短的私有域名访问,很爽。比如 nas.home router.home 。
cJ8SxGOWRH0LSelC
204 天前
不要听 1L 的, 只要不要用弱密码,或者用口令访问, 端口随便开, 不会有安全问题,SSH 这些服务本身不太可能存在零日漏洞, 放宽心吧。 不建议开放 web 端口, 主要是怕运营商封公网 IP , 不是因为安全问题。不要因噎废食, 怕这怕那的影响使用。
xtynoj
204 天前
@yt1988 这样做是不是类似于加了虚拟路由器/防火墙的感觉
xtynoj
204 天前
@StinkyTofus 我没有开网页或者 SSH ,主要是怕扫到远程桌面端口,登陆机器啥的
yt1988
204 天前
@StinkyTofus #2

首先我只是提供一个思路,供 LZ 选择。

其次我这个思路的核心在于大多数需求比如 3389 、http 、https 甚至非加密的流媒体的流量都有特征,通过打洞回家,可以消除掉大多数的特征,降低被运营商发现的概率。

对于大多数接入家庭网络的需求来说,更安全。
ll26571
204 天前
@xtynoj #4 扫到就扫到呗,多大的事,全球那么多暴露在公网的服务器,不还是都用的一样的端口嘛。只要做好“不用弱口令”这一条,有啥好担心的
kmzs
184 天前
密码尽可能复杂,尽量不使用 administrator 这个账号,并且锁定不能用这个账号登陆,基本就没啥问题
Earsum
173 天前
要放 ssh 就用私钥认证,不然别开
web 尽量不要开免得被运营商扫到请喝茶
rdp 最好别开,除非你做了双因子认证(例如 duo )
最好的方式是 vpn 回家,tailscale 、zerotier 、自建 openvpn 等都行

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1047453

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX