如何减少 NAS 端口暴露至公网

59 天前
 Autonomous
NAS 的域名是 example.com ,部署了 SSL 证书,上面有若干敏感服务,例如端口号是 1234 ,将其映射到公网,防火墙放行,通过访问 https://example.com:1234 获得服务。
一段时间后被爆破攻击,考虑隐藏这个端口,不再暴露至公网,防火墙不再放行。考虑引入一种验证机制,验证通过后直接访问 https://example.com:1234 获得服务,允许在服务端和客户端进行配置,配置好后应当自动完成这种验证,无需用户手动操作,有何较好的方案
4640 次点击
所在节点    NAS
59 条回复
yeh
59 天前
docker 部署个 ss ,vmess 啥的

写个规则,在外先回家,再访问 nas 。
dropdatabase
59 天前
Port Knocking
ggmm001
59 天前
通过子域名做反向代理
hronro
59 天前
用 VPN 。我路由器上直接配置拒绝所有由公网到内网的连接,简单粗暴。
tomczhen
59 天前
HTTPS 双向验证
SeanChang
59 天前
用雷池 WAF 挡一下。

家庭网络告别裸奔:群晖一键部署雷池 WAF 防火墙教程: https://xuanyuan.me/blog/archives/908
dfdd1811
59 天前
自己的就 vpn 回家,通过内网连。需要公共就 fail2ban 。我群晖的端口都不放公网了
Trim21
59 天前
我用的是 pomerium ,直接把所有需要验证的服务都丢到反向代理后面去就行了
SeanChang
59 天前
安装后把群晖或者群晖的上流的软路由之类的端口全关闭,或者用群晖的防火墙关闭端口,只留一个端口,外网通过访问这个端口进入再通过雷池 WAF 监听这个端口,根据域名判断进行反向代理即可。

雷池最近更新了几个版本,上面的教程可能有点过时了,可以做个参考。
mikewang
59 天前
参考 https://v2ex.com/t/982608
端口处于打开状态,域名不正确选择直接关闭连接,可一定程度上避免基于 ip 的 http 扫描
heavymetals
59 天前
我用的 wireguard 回家,路由器只要开一个 wireguard 端口就行
pxiphx891
59 天前
用 wireguard
wshcdr
59 天前
群晖上开启两步验证,就安全多了
CodeAllen
59 天前
像 zerotier 这样虚拟内网不就好了,VPN 是最简单的方式,权限验证也都很成熟,而且都有加密,要说缺点就是得后台跑服务
0o0O0o0O0o
59 天前
wireguard
fiveStarLaoliang
59 天前
1. tailscale 、wireguard 等组网工具
2. 端口隐射加秘钥验证
3. 端口敲门
4. 其他待补充
COOOOOOde
59 天前
说起来我有一个想法,做一个服务维护一个防火墙的时限白名单 再暴露一个网页服务,网页上输入密码后将当前访问 ip 加到白名单上,每个 ip 限制时间访问比如一天,过期移除白名单。
不知道有没有现成的
suuuch
59 天前
我有一个特别不方便的做法,就是在每天凌晨我在睡觉的时间里,有几个小时是直接关机的。。通过日志,能看出来被访问的频率大幅度降低。
Andrue
59 天前
一定要用公网就双向 tls 试试,当然最好还是用组网工具做安全环境比较好
heavymetals
59 天前
@COOOOOOde 有的 vpn 脚本有这种功能,具体是哪个忘了,就是用梯子之前先访问一个链接,把当前 ip 添加到白名单里,然后才能连接上

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1073068

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX