暴露内网服务，哪种方式最安全？

内网反向穿透+端口碰撞连接

wireguard

最安全必然 cf tunnel

服务装虚拟机里？

都一样，反正只暴露服务端口

cf tunnel +1

@Tink #3
@a282810 #6

确实。但是速度 有点慢。

最安全肯定防火墙，入站全 drop ，只留需要的 ip 或者 ip 段

我的方案：
无论 DDNS 域名还是服务域名，都使用三级或四级域名，只暴露一个公网端口，然后通过 NGINX 做流量转发，到不同的内网服务端口并且开启 NGINX Auth ，外面套一层 CDN ，回源 DDNS 域名仅允许 CDN IP 访问。

当然这样也未必安全，但是普通用户的话，我想应该够了吧。。。。。。

蒲公英旁路由？

cloudflare tunnels + zero trust, 目前是这套

我用方案 2 ，不过代理服务器用的 caddy

搞个 DMZ （真正的 DMZ ，企业常用的那种）
提供服务的机器划分到单独的网段，开端口映射到这台机器（任意方式均可）
再加个防火墙规则，不允许这台机器主动访问另一个内网

暴露给你自己，还是所有人？不同情况下“最安全”有不同的定义

内网堡垒机怎么样？

iptables -A INPUT -s aaa.bbb.ccc.ddd -j ACCEPT
iptables -P INPUT DROP

wireguard

参考企业的方案, 要访问内网服务, 都要 VPN 到内网去. VPN 你可以用 wg, 简单好用

我是直接 v2ray 连回家，内网 ip 地址访问

我是 IPSec 连回去，证书+密码验证
我感觉个人用的话算安全了

frp + 自己写的 frpm.php ip 白名单校验，白名单 ip12 小时有效
```
{"fun":"NewUserConn","in":{"version":"0.1.0","op":"NewUserConn","content":{"user":{"user":"xxx","metas":null,"run_id":"xxxx"},"proxy_name":"xxx.ssh","proxy_type":"tcp","remote_addr":"x.x.x.x:58558"}},"out":{"reject":true,"unchange":false,"reject_reason":"remote ip not in .frps.pass.json"}}

{"fun":"NewUserConn","in":{"version":"0.1.0","op":"NewUserConn","content":{"user":{"user":"xxx","metas":null,"run_id":"xxxx"},"proxy_name":"xxx.ssh","proxy_type":"tcp","remote_addr":"x.x.x.x:50389"}},"out":{"reject":false,"unchange":false,"reject_reason":"validity period: 1day 23hour 59minute 44second "}}
```