搞了个双栈家宽 300+50M，有何防护技巧

不要跑大流量，不要 PCDN ，把你的 http(s) 端口关掉换成 frp

CF 的 tunnels

坐等关停写保证书

自用的话，我 http 的服务都好几年没人管

记住一个道理，永远不要对外暴露家里的任何 web 服务。

比较安全的方案是自建 wireguard 这种方案，一行 docker 命令即可，wg-easy 带有图形化的管理界面。

在安全性方面，只需要在路由器层面开放一个 wireguard 的 udp 端口号即可。

带来的好处很多：
1 是速度快，有公网 IP 是直连的。比任何商用服务的速度都快得多，当然取决于你家里宽带的上传速度。
2 完全开源免费，支持多平台。
3 一键直连家里内网，访问习惯不需要做出任何改变，和在家里一样。

如果只有自己用的话 建议用 vpn 接入，比如楼上说的 wireguard

只暴露 vpn 端口是比较安全的，缺点就是手机和电脑要先连接 vpn 再访问服务，自己还好，如果有家人要访问的话麻烦点

@miniliuke 我 ip6 跑了两年了

@LanhuaMa 之前一直有 ipv6 在跑 pt ，跑了一两年，还算稳定

@yyzh 可怕

@smartruid 主要是我和我对象使用

@dhuzbb #5 这段话已写入 memos 。

n 年前问过电信区域经理，ddns 域名不一定备案，只要不包含关键词即可。你对外的所有 web 只要加上权限控制（登录系统）就行了，只要不能直接任意访问，就不算对外公开。开 web 被关停的都是挂了不合规的东西或者允许任意公共访问，每一个都嘴硬。规定看不懂，变通也不会。我电信公网 ip 对外 git8443 （ 4 年），群晖 5000 （ 6 年），海康 NVR8080 （ 10 年），家人在用，git 甚至给朋友们（ 20+人）一起用，都没问题。

对外开放 web 的访问真是心大，我现在都不敢直接了，
而是只做为 web api 和 文件服务器 对外开放，但是必须验证 token (其实就简单的验证一个加密后的时间参数，误差 5 分钟内的都放行)，要是验证不通过连 404 都不返回了，改为直接 TCP RST 强行中断连接。

对外只暴露了两个高位端口
-----------
你是如何保证只暴露了这两个端口？

如果可以确定只是暴露了这两个端口，那可以想办法在这两个端口上做一些安全措施也行，但是要安全的话，还是得用 vpn ，相对成本小，安全保障更高

不要开 http 类协议，就算高端口也一样，运营商并不是检测你的端口，而是检测协议类型

@LanhuaMa
@DoubleKing #9 赞同，用 frp 的 stcp 模式。
对外只暴露一个端口，配置好之后跟访问内网一样。

我开了个 openwrt 和 bitwarden ，有别的需求的时候设置 openwrt 防火墙，暂时没什么问题

和你一样用 nginx 反代，防护做了一点把 nginx 的默认访问改成返回 444 ，比如 https://xxxx.com:12345 这样能直接进入页面的改成 https://xxxx.com:12345 访问就返回 444 直接中断连接这样就只知道开放了端口不知道跑的什么东西。把要访问的修改成二级目录 https://xxxx.com:12345/qunhui 这种才能进入的同时也可以再加个简单的页面认证，这样基本就不会让人扫描出来了，扫描端口就直接给你返回 444 的连接了。可以探测到的就是你在这个端口跑了一个 nginx 服务但是用 https 是不知道你里面的路径的，一定不能用 http 传输数据就是了。