想要黑群晖的 5000 端口用 Nginx 反代出来,会有什么安全问题?

2023-11-14 13:57:25 +08:00
 ccagml

规则类似

location ~ /asdasd 比较长的随机路径/ {
 proxy_pass  http://127.0.0.1:5000
}

使用类似 xxx.xxx.com/asdasd 比较长的随机路径 这样会有什么问题,感觉很不安全的样子 主要是想在手机上看照片,又不想在手机上安装额外的软件

2698 次点击
所在节点    NAS
26 条回复
hay313955795
2023-11-14 13:57:54 +08:00
没啥问题。。等有问题的时候再改了呗。
leefor2020
2023-11-14 14:08:34 +08:00
NGINX 限制下访问 IP 呗,只允许你常用的 IP 段
AoEiuV020JP
2023-11-14 14:19:12 +08:00
5000 不是也要密码登录的吗, 只要密码不太简单,安全性没啥问题吧,
另外 nas 本职是 smb, 手机上随便一个支持的文件管理器就行,不算额外安装软件吧,
xiamy1314
2023-11-14 14:24:05 +08:00
没有,密码复杂点。
prudence
2023-11-14 14:32:24 +08:00
有个限制 密码错误封锁 ip 设置一分钟错一次锁,开了公网几年目前没事
wxw752
2023-11-14 14:34:35 +08:00
三年了,没有问题
devswork
2023-11-14 14:38:48 +08:00
1. 上 HTTPS SSL 证书
2. 仅你当地的运营商 IP allow ,其他一律 deny ,参考 http://ipcn.chacuo.net/
3. 路径足够随机,足够猜不到
4. 匹配其他路径兜底 301 302 到小米官网、华硕官网,模拟一个路由器出错跳转回官网的现象
hervey0424
2023-11-14 15:35:34 +08:00
上 https 把, 要不然被人家抓到密码就完犊子了
Livid
2023-11-14 15:36:37 +08:00
tsanie
2023-11-14 15:41:51 +08:00
给可以登录 dsm 的用户开启 otp
gps949
2023-11-14 15:45:52 +08:00
看到 livid 都发了,我也凑个热闹:
https://www.v2ex.com/t/961711

话说回来,如果选择反代方式的话,建议可以 NPM 做简单些,并且建议两端 SSL (即走群晖 5001 口到你反代,你反代开 HTTPS )。
另外,也可以考虑用 Cloudflare R2 、百度网盘、OneDrive 、Google 同步,既实现照片多备份又可以方便查看(当然百度网盘的话前提是已经是它的用户)。
再此外,还可以直接用群晖的 webstation 。

总的来说玩法还挺多的
cctv180
2023-11-14 17:09:07 +08:00
都用 Nginx 了,事情要简单很多开启证书,把默认网站直接返回 444,即你指定域名才能开,只要你不泄露域名只有运营商通过 SNI 才能查到。

listen 80 default_server;
listen 443 ssl http2 default_server;
return 444;
leconio
2023-11-14 17:14:07 +08:00
这写法有问题吧,
leconio
2023-11-14 17:18:23 +08:00
这写法有问题吧,我觉得应该是这样,不对请指出
location /比较长的随机路径 {
rewrite ^/比较长的随机路径/(.*)$ /$1 break;
proxy_pass http://127.0.0.1:5001;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
JensenQian
2023-11-14 17:23:24 +08:00
你富强软件总归要装吧
富强的一般都支持 wireguard
搞个不就好了
hostname
2023-11-14 17:25:54 +08:00
我在 NGINX,设置了双向 HTTPS 认证,感觉很安全
lovelylain
2023-11-14 20:26:06 +08:00
@leconio proxy_pass http://127.0.0.1:5001/;不用 rewrite
skilyalex
2023-11-14 20:55:40 +08:00
都有公网 IP 了,不如直接开个 VPN 回家好了
hysjw
2023-11-14 21:58:17 +08:00
用 VPN 最安全,次一点就限制 IP 访问加 http 密码验证
hefish
2023-11-14 22:41:05 +08:00
我一哥们,把群晖反代到公网上,没两个星期,上面存的小姐姐全被删了。。。估计是大学生复制时用了剪切。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/991802

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX