调查贴:你们的 nas 是局域网访问还是公网访问呀?

2022-10-30 12:50:39 +08:00
 caicaiwoshishui

家里有公网 ip ,目前挂了玩客云这类东西,但是 nas 一直是局域网访问,想问下如果用公网访问需要注意什么?

怎样才能证明他的系统公网访问是安全?比如用某些漏洞网站去扫描,没问题就可以公网?

2617 次点击
所在节点    问与答
20 条回复
ltkun
2022-10-30 13:01:00 +08:00
VPN
dcsuibian
2022-10-30 13:05:55 +08:00
我是群辉,开启了管理控制台和 webdav 公网访问,DDNS 。不过更换了端口+使用高强度密码。

感觉 mac 上 webdav 不怎么样,所以现在更多是 wireguard 后用 smb 连接访问。(不过不能用 mDNS 了,只能直接用 ip )
documentzhangx66
2022-10-30 13:08:44 +08:00
1.内网直接访问。

2.公网也允许访问,VPN Server 建在公有云,NAS 通过 VPN 主动连接公有云的 VPN Server 。

3.VPN Server 的对公网端口设置为特殊高位端口号,加 fail2ban 。

4.VPN Server 关闭 ICMP ,不允许 ping 。但使用特殊高位高端,改为 tcpping 。并且 ping 方要发送特定字符,Server 端才会回应。

5.公有云的 VPN Server 常用端口设置蜜罐。

这种做法,对于个人与小型企业,都已经是万无一失了。

普通黑客的广撒网式的攻击思路,会先进行常用端口扫描,这一步就被蜜罐给拉黑了,更别提后续。
documentzhangx66
2022-10-30 13:09:54 +08:00
改下错别字:

4.VPN Server 关闭 ICMP ,不允许 ping 。但使用特殊高位端口,改为 TCP-Ping 。并且 ping 方要发送特定字符,Server 端才会回应。
monzuguan
2022-10-30 13:10:26 +08:00
owncloud 的 HTTPS 和 webdav 都开放到公网,保持高频更新,包括系统和应用。
bankroft
2022-10-30 13:11:50 +08:00
内网穿透,关闭服务器端口,用的时候再开
statement
2022-10-30 14:10:33 +08:00
公网直接访问
yjim
2022-10-30 17:04:39 +08:00
局域网+VPN

非必要不建议暴露在公网
XiLingHost
2022-10-30 17:37:19 +08:00
公网暴露 wg ,然后远程拨回家访问
Autonomous
2022-10-30 20:21:55 +08:00
公网 DDNS 直接暴露端口
91pornshanghai
2022-10-30 20:30:11 +08:00
局域网,懒得配置安全问题,所以我买了个海康的小 nas ,把我的文档之类的文件双向同步到海康上面,在外面就直接用海康的 app
wanguorui123
2022-10-30 21:05:44 +08:00
公网直连
FDKevin
2022-10-30 21:11:20 +08:00
局域网,在外 wg 组网(innernet)
totoro625
2022-10-30 21:49:48 +08:00
总有些漏洞是未公开的,暴露到公网的越多越不安全
甚至某天你误开的服务就能被黑,继而破坏整个系统

clash 分流,在外面时内网域名走 vpn 回家,在家时不走 vpn 直连

或者 zerotier/tailscale/wg 组网
yghack
2022-10-30 22:04:17 +08:00
vpn + 1
hanguofu
2022-10-31 06:44:54 +08:00
@documentzhangx66 : 请问给 公有云的 VPN Server 常用端口设置蜜罐 有什么常用的脚本或者工具啊 ?
jakehu
2022-10-31 09:21:27 +08:00
公网 IP + DDNS + 端口转发
luomao
2022-10-31 10:47:21 +08:00
公网 IP ,软路由 DDNS ,端口号全用的 30000+以上。目前对外暴漏群晖、openwrt 、博客、plex 、homeassistant 等服务。
目前看群晖上 IP 黑名单能有 2000+的数据,多是欧洲美国的 IP ,目前还没有什么被侵入的迹象
virualv
2022-10-31 10:52:34 +08:00
我用的群晖。改了端口,指定高风险国家或地区的 ip 禁止访问,设置密码错误到达指定次数永封 ip ,所有开启外网访问服务 ssl 加密。之前会收到境外 ip 被封禁的邮件,现在已经很久没收到了
documentzhangx66
2022-10-31 19:03:17 +08:00
@hanguofu

用 nginx 把常用 21 、22 、80 、81 、139 、443 、8080 、8006 等端口,全部监听。

然后写个小程序监控 access.log 和 error.log ,来一个 IP ,封一个 IP 就行。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/891126

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX