把家用文件服务器开放到公网,有什么手段可以避免被攻击?

2023-04-22 12:47:53 +08:00
 Cineray

上周叫师傅开通了家用公网,一个月 20 块钱。

想搭建一个 samba 或者 webdav 服务器,给公司和外出作文件分享使用。

先前的方案是坚果云,无奈空间太小价格太贵,其他的网盘又担心资源和谐问题。

有没有什么方法可以既保证一定安全的情况下,又可以自己舒服的同步和传输文件?

目前已经设置的:

  1. open 端口设置为非常用端口,5 位数,应该可以避免一定扫描。
  2. samba 密码复杂度包括大小写字母,数字和符号。
  3. 禁止 guest 访问。
  4. 使用 samba 2.0/3.0 ,关闭 samba 1.0 协议。

但是除此之外就不知道还需要如何设置了。

或者有什么更好的文件服务器部署方式,可以推荐以下。

11892 次点击
所在节点    宽带症候群
94 条回复
documentzhangx66
2023-04-22 17:44:26 +08:00
@Cineray 楼主在 2 楼提到:

穿透太慢了,外出不方便,也不便于分享。

我大概了解了,楼主想要一套知乎这种方案:

1.基于 Web 。

2.不需要穿透。

3.可以共享。

那么,楼主至少需要专业的 防火墙 + WAF 。

这两台安全设备,一线牌子的,第一次采购的费用基本上在 10 - 30 万左右,过了维护期后,每隔 3 年还需要花几万元续费一次授权。

楼主确定愿意花这个钱嘛?
kmvvv
2023-04-22 18:05:04 +08:00
我觉得尽量用 vpn 连回来,能省很多事
Cineray
2023-04-22 18:09:13 +08:00
@documentzhangx66 倒不必这么极端,根据楼上的很多推荐,貌似 webdev+https+tls auth 是比较折中的解决方案。
dann73580
2023-04-22 18:25:37 +08:00
专业的防火墙也是有开源方案的,看看 goedge ,是非常好的项目!不过一般使用的话,https+webdav+复杂密码足以,不需要的端口用防火墙关掉,不要转发。
mohumohu
2023-04-22 18:30:42 +08:00
webdev 并不算很方便,相比 zerotier 直接挂 smb ,webdav 的体验在 windows 下简直是灾难。
killgfat
2023-04-22 18:35:39 +08:00
samba 不太适合外网使用吧,真要用建议通过 zerotier 或者 tailscale 搭一个虚拟局域网用
spacezip
2023-04-22 18:39:13 +08:00
至少 ipsec 进去吧
纯公网
墙划 dmz 设策略 ddos 防毒墙 waf ips 一套下来 得几十个 真有人打还要折腾蜜罐
liuhai233
2023-04-22 19:04:13 +08:00
只开一个 http 端口,我外网用 alist 的 webdav 来传输文件,http 的服务都走 nginx ,绑定域名
luny
2023-04-22 19:16:17 +08:00
家用的开 http 端口,估计比较容易被查吧
我是买断了花生壳 2 台主机,挺方便
opengps
2023-04-22 20:32:08 +08:00
@vibbow #12 更正下:禁止国外 IP+所有 idc 的 ip
MFWT
2023-04-22 20:39:08 +08:00
嫌 VPN 麻烦,可以考虑 SFTP ,Windows 用 FileZilla 访问就行

但是,毕竟你有公网,建议还是 VPN 的方案比较好

最次的,是系统自带的 VPN ,比如 L2TP/IPSec ,IKEv2/IPSec 什么的,但是因为没办法分流,所以平时上网也会受影响

基本还是建议用 WireGuard 或者 OpenVPN ,配置下路由,让一个特定的内网段进去就好了,这样的话文件传输用啥都无所谓,FTP ,SMB ,WebDAV 随便你
EvineDeng
2023-04-22 20:44:13 +08:00
其实爱快或者 openwrt 都可以限制到只允许某国,甚至某省、某市的 ip 方可访问指定端口。
crazyweeds
2023-04-22 21:00:15 +08:00
成本最低,体验最好的其实就是 VPN ,前提是你有公网 IP 。
gdfsjunjun
2023-04-22 21:11:37 +08:00
公网还要收费的?莫非是固定 IP ?
最好部署 VPN ,最安全。
q000q000
2023-04-22 21:17:03 +08:00
WebDAV + HTTPS , 不要开 SMB !
yinmin
2023-04-22 21:37:11 +08:00
@Cineray 你是使用 mac 吧? 推荐 stunnel 双证书加密隧道,把远程 smb 端口 map 到本地,安全而且稳定。端口建议 465 、993 、995 等邮件常用的 tls 端口,有些企业内网防火墙限得比较严格,设这些端口能过。
Cineray
2023-04-22 21:59:50 +08:00
@gdfsjunjun 我们这是要收费的,湖南电信。。
ixiumu
2023-04-22 23:17:30 +08:00
1. 公网绝不要直接 SMB 和版本或者 guest 无关 刚需请套 VPN
2. WebDAV 一定要套 TLS 证书
3. 端口几位数没有多大意义 (你想用 80/443 电信也不同意

安全这块如果你不是特别熟悉 建议上群晖 (买系统送软件不是开玩笑 黑的也行 直接跑个 VM 很方便
ixiumu
2023-04-22 23:22:38 +08:00
@ixiumu 打错了 买系统送硬件 群晖默认的设置就足够应付大多数情况了 扫描 锁 IP 之类的基础工作都帮你处理好了 超管账号开 2FA 普通用户简单设置一下权限就可以了
Cineray
2023-04-22 23:24:33 +08:00
@ixiumu 感谢,现在 smb 还有这么严重的缺陷吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/934526

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX