如何减少 NAS 端口暴露至公网

5 天前
 Autonomous
NAS 的域名是 example.com ,部署了 SSL 证书,上面有若干敏感服务,例如端口号是 1234 ,将其映射到公网,防火墙放行,通过访问 https://example.com:1234 获得服务。
一段时间后被爆破攻击,考虑隐藏这个端口,不再暴露至公网,防火墙不再放行。考虑引入一种验证机制,验证通过后直接访问 https://example.com:1234 获得服务,允许在服务端和客户端进行配置,配置好后应当自动完成这种验证,无需用户手动操作,有何较好的方案
3378 次点击
所在节点    NAS
59 条回复
yeh
5 天前
docker 部署个 ss ,vmess 啥的

写个规则,在外先回家,再访问 nas 。
dropdatabase
5 天前
Port Knocking
ggmm001
5 天前
通过子域名做反向代理
hronro
5 天前
用 VPN 。我路由器上直接配置拒绝所有由公网到内网的连接,简单粗暴。
tomczhen
5 天前
HTTPS 双向验证
SeanChang
5 天前
用雷池 WAF 挡一下。

家庭网络告别裸奔:群晖一键部署雷池 WAF 防火墙教程: https://xuanyuan.me/blog/archives/908
dfdd1811
5 天前
自己的就 vpn 回家,通过内网连。需要公共就 fail2ban 。我群晖的端口都不放公网了
Trim21
5 天前
我用的是 pomerium ,直接把所有需要验证的服务都丢到反向代理后面去就行了
SeanChang
5 天前
安装后把群晖或者群晖的上流的软路由之类的端口全关闭,或者用群晖的防火墙关闭端口,只留一个端口,外网通过访问这个端口进入再通过雷池 WAF 监听这个端口,根据域名判断进行反向代理即可。

雷池最近更新了几个版本,上面的教程可能有点过时了,可以做个参考。
mikewang
5 天前
参考 https://v2ex.com/t/982608
端口处于打开状态,域名不正确选择直接关闭连接,可一定程度上避免基于 ip 的 http 扫描
heavymetals
5 天前
我用的 wireguard 回家,路由器只要开一个 wireguard 端口就行
pxiphx891
5 天前
用 wireguard
wshcdr
5 天前
群晖上开启两步验证,就安全多了
CodeAllen
5 天前
像 zerotier 这样虚拟内网不就好了,VPN 是最简单的方式,权限验证也都很成熟,而且都有加密,要说缺点就是得后台跑服务
0o0O0o0O0o
5 天前
wireguard
fiveStarLaoliang
5 天前
1. tailscale 、wireguard 等组网工具
2. 端口隐射加秘钥验证
3. 端口敲门
4. 其他待补充
COOOOOOde
5 天前
说起来我有一个想法,做一个服务维护一个防火墙的时限白名单 再暴露一个网页服务,网页上输入密码后将当前访问 ip 加到白名单上,每个 ip 限制时间访问比如一天,过期移除白名单。
不知道有没有现成的
suuuch
5 天前
我有一个特别不方便的做法,就是在每天凌晨我在睡觉的时间里,有几个小时是直接关机的。。通过日志,能看出来被访问的频率大幅度降低。
Andrue
5 天前
一定要用公网就双向 tls 试试,当然最好还是用组网工具做安全环境比较好
heavymetals
5 天前
@COOOOOOde 有的 vpn 脚本有这种功能,具体是哪个忘了,就是用梯子之前先访问一个链接,把当前 ip 添加到白名单里,然后才能连接上

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1073068

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX