把家用文件服务器开放到公网，有什么手段可以避免被攻击？

2023-04-22 12:47:53 +08:00

Cineray

上周叫师傅开通了家用公网，一个月 20 块钱。

想搭建一个 samba 或者 webdav 服务器，给公司和外出作文件分享使用。

先前的方案是坚果云，无奈空间太小价格太贵，其他的网盘又担心资源和谐问题。

有没有什么方法可以既保证一定安全的情况下，又可以自己舒服的同步和传输文件?

目前已经设置的：

open 端口设置为非常用端口，5 位数，应该可以避免一定扫描。
samba 密码复杂度包括大小写字母，数字和符号。
禁止 guest 访问。
使用 samba 2.0/3.0 ，关闭 samba 1.0 协议。

但是除此之外就不知道还需要如何设置了。

或者有什么更好的文件服务器部署方式，可以推荐以下。

11895 次点击

所在节点

宽带症候群

94 条回复

ixiumu

2023-04-22 23:36:13 +08:00

@Cineray 据我所知 "严重缺陷"应该是没有但是这个是局域网协议它握手也不考虑公网情况这种中间人和嗅探会泄露不少东西出去还怕被暴力你既然在意安全性这个首先就应该排除掉的

TheNine

2023-04-23 08:27:06 +08:00

smb 不安全，不方便。

我目前的方案是用 vpn 回家访问
还有一台专门用来控制家里其他设备的 linux 开了公网的端口，用的是私钥登陆。有时候没办法会控制它临时打开一些端口，用完就关

MartinWu

2023-04-23 08:45:01 +08:00

wireguard + noip 免费 ddns

motai

2023-04-23 08:51:36 +08:00

开个 v2ray 服务到公网连上到局域网

terrancesiu

2023-04-23 09:05:26 +08:00

我既有 wireguard 又有 ip 白名单，因为公司连接回去肯定是用的静态地址，所以白名单有效。

lingeo

2023-04-23 09:08:12 +08:00

op 是哪家的运营商啊？支持购买公网 IP.

newmlp

2023-04-23 09:39:44 +08:00

用 ipv6 也可以，只要别人不知道地址，几乎不可能被攻击到

goodryb

2023-04-23 10:03:32 +08:00

如果只是文件服务，建议使用 webdav ，前面套个 HTTPS ，端口非常用，不要弱密码，有公网 IP 直接端口映射，直连最方便

smb 不建议在公网使用，也有可能根本使用不了，运营商把 SMB 的端口都干掉了。

Cineray

2023-04-23 10:16:28 +08:00

@lingeo 湖南电信的

Cineray

2023-04-23 10:18:47 +08:00

@newmlp v6 还是得用 ddns 。这个就基本上有风险被扫到了，同时 v6 据说也有是大内网？比如手机的 v6 无法访问到电脑。既然开了公网 v4 我还是不折腾 v6 了

newmlp

2023-04-23 11:49:56 +08:00

@Cineray v6 没有大内网，连不到是因为运营商的光猫防火墙策略默认阻止 ipv6 的主动入站连接

cy18

2023-04-23 11:59:20 +08:00

不要用 samba 。
用群晖，seafile ，nextcloud 之类的现成的系统，配好 https ，除了 ddos 跟 0day 漏洞，应该问题不大了。

cy18

2023-04-23 12:02:13 +08:00

另外可以看看 syncthing 满足你要求不

vhus

2023-04-23 13:00:35 +08:00

带宽是上下行对等吗？

troilus

2023-04-23 13:04:06 +08:00

最后用的 sftpgo 搭建的 WebClient ，登录支持两步验证

777777

2023-04-23 15:30:43 +08:00

如果你介意隐私的化，可以直接 nginx 、apache 公开目录。hhhh

superliy

2023-04-23 15:50:30 +08:00

@systemcall zerotier 不是 udp 类似 p2p?

fastcache

2023-04-23 21:59:37 +08:00

zerotier 没广告，用 webdav https 还要装个有广告的软件(收费版可去广告)，体验不好

dude4

2023-04-23 22:36:21 +08:00

@fastcache 你说的是 windows 的 RaiDrive 吧，支持 webdav https 和其他很多云盘本地挂载但免费版确实有广告
可以用 rclone 替代，虽然是命令行，但是开源免费还支持多种系统，能上这个坛子的人整点命令行很简单

cwbsw

2023-04-23 22:40:02 +08:00

@MFWT ipsec 也可以分流的啊，虽然不如 wireguard/openvpn 强大，但是给客户端下发一个内网段还是可以的。

第 4 页／共 5 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/934526

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.