家庭公网 ip 下的安全措施

2023-06-20 16:02:54 +08:00
 Leslie5205912
宽带换成电信的也有了公网 ip
路由器拨号下接 esxi 主机 虚拟化 debian windows 等 直接转发的端口只有 windows 445 的 smb 端口 以及为了 nat 设置了 switch 主机为 DMZ 主机
其他流量还是走 frp 腾讯云 主要的一台 debian ssh 及 nextcloud 端口 和 windows rdp 都在腾讯云上设置了入站 ip 限制(仅公司 ip) 其他范围端口不限制 ip

debian 目前是 root 弱密码 rdp 是强
不太懂求问这样够安全不
4230 次点击
所在节点    宽带症候群
23 条回复
tulongtou
2023-06-20 16:05:56 +08:00
debian ssh 强制密钥登录就好了,把密码登录关掉。
Leslie5205912
2023-06-20 16:09:48 +08:00
@tulongtou 谢谢我改下
melsp
2023-06-20 16:16:30 +08:00
弱弱问一下 frp 具体干嘛,经常看到,但是没有尝试过,我和楼主挺像的,不过我是 openwrt 做了 esxi 里的主路由,装了 openvpn 再把端口做出去的
Leslie5205912
2023-06-20 16:26:02 +08:00
@melsp 我是之前没公网 ip 想内网穿透才用的 (主要就 smb 备用线路、ssh 和 nextcloud )现在虽然有公网 ip 了但是感觉用安全点 毕竟多一层转发也能限 ip
dullwit
2023-06-20 16:38:57 +08:00
我采用的方式是自建 ss ,只开放 ss 端口,并且家里局域网采用冷门 ip 段。在手机和工作电脑端配置好代理软件就很方便了。
yqlian
2023-06-20 17:18:10 +08:00
Debian 新建个用户,可以给予 sudo 权限。然后 SSH 禁止 root 登录,平时用这个用户登录,需要 root 再用 su 。该用户再加上证书,禁止密码登陆,只允许证书登录。Linux 就相对安全了。
neroxps
2023-06-20 18:10:16 +08:00
话说 445 安全吗?感觉还是套个 vpn 或者 ss 最好吧。
goodryb
2023-06-20 18:58:06 +08:00
有公网 IP 可以不用 frp 了,我的实践经验: 内网有台 Ubuntu 和一台 windows ,以及 nas 上的一堆服务。

windows rdp 端口转发,Ubuntu ssh 端口转发, 访问其他服务 通过 Ubuntu 走 ssh 端口代理,

ssh 密钥登录,rdp 强密码,smb 建议不要开放到公网
HFX3389
2023-06-20 19:13:11 +08:00
有公网 IP 适合打洞的话还是不要用 frp 了,frp 适合没办法打洞才做内网穿透的
vitoria
2023-06-20 19:13:43 +08:00
我的做法是 ssh 强制密钥登陆,rdp 不暴露到公网,通过 rdp 隧道转发访问
vitoria
2023-06-20 19:14:12 +08:00
@vitoria ssh 隧道,打错了
Jirajine
2023-06-20 19:31:29 +08:00
不安全。
任何暴露公网的服务都需要长期维护,别管什么协议爆出个漏洞你就得及时更新系统。
所有对外端口全部关闭,只留个 VPN ,相对是最安全的。
NicholasYX
2023-06-20 21:06:12 +08:00
建议 DDNS+Open VPN
weijancc
2023-06-20 21:47:20 +08:00
搭个 vpn
huaes
2023-06-21 01:06:21 +08:00
只要协议没漏洞 20 位以上强密码就可以了,你看着攻击记录不糟心就行
Leslie5205912
2023-06-21 08:49:13 +08:00
@neroxps 445 也是端口转发的 考虑平时会给女朋友看剧用 vpn 会有点麻烦
terrancesiu
2023-06-21 09:10:37 +08:00
坚持一个一个原则,减少暴漏面,开放的端口越少越好,端口越高位越好,能为端口设置来源 acl 最好。如果前面做不到,就开 VPN 。或者使用 cf 的一些技术处理。我家有台机器需要长期在外使用 RDP ,如果是从单位连接,我直接做了高位端口映射和 ACL 白名单,因为单位是固定 IP 。其他位置都是通过 WG 再连接。
yqlian
2023-06-21 09:52:17 +08:00
smb 协议用来文件共享么?强烈推荐换成 WebDAV 。有几个好处:
1. 实际上底层是 https ,还可以加 https 证书,所有流量都经过证书加密,别人抓包都看不到你的内容,密码也不会泄漏。
2. 可以用 File Zilla Pro 或者 FTP Rush 等支持 WebDAV 的下载工具。速度比 FTP 还快,宽带可以跑满全速。
3. 可以用 nPlayer 之类支持 WebDAV 的在线播放工具,在外网或者公网可以直接播放视频,带字幕。
4. 可以用本站推荐的 Ever Play 直接播放内网的 MP3 ,支持歌词显示。
Leslie5205912
2023-06-21 09:59:31 +08:00
@yqlian smb 目前就是用来外网用 nplayer 看剧 因为 windows 原生带这个就直接用了当时
谢谢我也准备改 webdav 了 好像 win10 有自带的我试试 这样端口转发暴露公网应该会更安全点 也不用走 vpn 了
neroxps
2023-06-22 05:15:47 +08:00
话说 445 安全吗?感觉还是套个 vpn 或者 ss 最好吧。
@Leslie5205912 看剧套个 webdav 安全很多。至少只能下载不能上传啊。445 有命令通道。隔三差五会爆 0day

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/950365

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX