如何减少 NAS 端口暴露至公网

@SeanChang 研究了下雷池，感觉大而重啊

@COOOOOOde #17 我自己手搓了一个
后台运行 ddns-go 将当前机器 ip 解析到一个 ddns 域名上，机器每隔 5 分钟将当前 ddns 的 ip 添加到白名单，每天 24 点清空
手机是访问一个 web 网页，写入当前访问 ip 到 cloudflare kv ，再获取 ip 进行放行

GPT 写了一个通过点击网页按钮，PHP 执行 shell 放行当前访问 ip 的脚本，但是感觉开放这个网页，并给这么高的权限更加不安全

自爆让运营商回收公网 ip ，然后打洞那个是动态端口，动态端口实时更新到 cf ，然后 cf302 到 nas 。

套个 cf

用 n2n 组建虚拟局域网，与局域网一样使用，但是不暴露任何端口在公网。
但是需要一台公网服务器做中转。

Tail scale

用虚拟组网，不要用端口映射

你平时也就几个 ip 访问你的 nas 吧（手机网络，家庭公网，公司电脑，常用梯子），加个白然后其他防火墙伺候就行了。
说了你可能不行，我前两个网都加的甚至都是/16 ，从后台看爆破的就少多了

最安全的还是 VPN 回家。

开防火墙，所有开放端口一律手动控制，尽量使用 nginx 来进行转发，这样有问题可以查日志。

你是不是在找 Tailscale ？

vpn

如果需要提供外部服务，用 cloudflare tunnel 穿透，不暴露任何端口，还能有 cf 的 cdn 防护

https 双向证书认证，绝对安全

推荐一下 nginx proxy manager 搭配 crowdsec 就好，家用基本够了，参考： https://sspai.com/post/88908 ， 就 2 个 docker 的事情。 你如果要方便的话，还是这个，真不像暴露端口，直接 vpn ，相信也不问了

暴露一个端口,nginx 代理二级域名.全都开启 passwd

一堆花里胡哨的，@dropdatabase 是正解

我用的 nginx proxy manager 反代，然后把 npm 的端口在 cloudflare 做一个 origin rules ，这样一举两得，又能减少端口暴露，又能甩掉端口号直接访问，配合 cf 的 zero trust ，还可以通过 email/github/google 等服务做验证。
缺点就是国内访问有点慢，不过反正服务都是我自己用，而且 24 小时挂梯子，不算什么大问题

都 2024 了还在暴露服务端口，哪天被勒索了就知道痛了，说三遍：只开放 VPN 端口！只开放 VPN 端口！只开放 VPN 端口！

Cloudflare Tunnel