搞了个双栈家宽 300+50M，有何防护技巧

@thereone 最终达成的效果就是访问
https://x.x.x.x:12345 IP 地址加端口 返回 444 关闭连接不让访问
https://x.x.x.x:12345/qunhui IP 地址加端口加正确的目录 返回 444 关闭连接不让访问
https://xxxx.com:12345 域名加端口 返回 444 关闭连接不让访问
https://xxxx.com:12345/qunhui 域名加端口加正确路径 正常访问
达到以上效果基本就可以了对于普通人防护基本没有问题，再加强的就是不用 nginx 做反代而是内网部署一个开源 waf 用 waf 来做反代同时上一个免费防火墙针对端口扫描之类的也做防护，同时在出口路由器限制可以访问的 ip 地址基本就可以避免绝大部的扫描探测还有攻击了。最后就是勤加更新软件防止漏洞攻击。

@78786381 我也想装一个 bitwarden

@agostop #16 ipv4 不知道我现在的方案安不安，之前只有 ipv6 ，相同的方案

@thereone #20 我现在是必须 https://xxx.域名:端口才能访问，如果不是 https 或者端口不对，，或者 xxx 没有，直接就是 400 或者错误，

@DoubleKing 不要返回 400 的错误返回 400 的错误代表你这里有一个能显示页面的网站，用 444 直接就是关闭连接访问不正确直接关闭连接，浏览器会直接显示无法访问此页面这样才是最好的，只有正确的访问才会显示页面。

@dhuzbb 如果要开 bt 下载需要开放 16881 6881 端口么，我现在家里的宽带开了这两个也开了群晖的 5000 ，还开了 sftp 和 webdav 端口，还有一个游戏的端口，而且没 https ，最近在考虑如何削减开放的端口，目前家里宽带是用 tplink 自带的 ddns ，几块钱买了个域名二次解析到了 ddns 的域名上，老哥有没有啥方案

我开过 Wireguard 结果被运营商 UDP QoS 了……

@AndreasG 不需要，路由器开放 wirguard 的 udp 连接端口，是为了在外访问家里的网络。一旦连接上家里网络，就和你在家里访问局域网中的设备是一样的了。