请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
这是一个创建于 368 天前的主题,其中的信息可能已经有所发展或是发生改变。
自从 IPv6 这东西普及后,很多人直接用的就是 DDNS+IPv6 直连自己的 NAS 。而似乎 webDAV 和 smb 都不是特别安全。以前说 Ipv6 地址多,黑客扫不过来,可是如果用了 ddns ,这个范围就被缩小了,如果你的域名被人知道了呢?
所以 NAS 的安全性到底该怎么做?开 vpn 或者 zerotier 虚拟组网吧,这个方案其实挺麻烦的,只适合比较专业的人干。
所以 NAS 的安全性到底该怎么做?开 vpn 或者 zerotier 虚拟组网吧,这个方案其实挺麻烦的,只适合比较专业的人干。
 |
1
raysonx 2023-11-22 17:36:32 +08:00 via iPhone
我个人建议在直连的情况下配置双向 TLS ( mTLS )认证,没有客户端证书的一律拒绝连接。
|
 |
2
AoEiuV020JP 2023-11-22 17:37:21 +08:00
有人盯你域名扫的话 ipv 几都不安全,
我是家里路由器只暴露一个 shadowsocks 端口,在外都是用 clash 分流通过这个 ss 端口访问家里内网设备, nas 自己密码设置好些直接暴露出去也不会很危险吧, |
 |
3
wangbin11 2023-11-22 17:41:06 +08:00
用 vpn 面板吧,ipv6 开个 udp 端口用于 vpn 其他全部干掉。能过滤很大一部分
www.feishuwg.com,我公网 ipv4 目前这么干的,还没遇到过入侵 |
 |
4
littlewing 2023-11-22 17:50:37 +08:00
DDNS+IPv4 不也一样的问题?
|
 |
5
YsHaNg 2023-11-22 18:04:06 +08:00
蜜罐服务器 多攒点 ip block list 把 22 3389 什么的全打开一般点的扫描就会对你真正端口视而不见了
|
 |
6
bobryjosin 2023-11-22 18:18:03 +08:00 via Android
你自己也说了,那只能 nat+vpn 组合拳咯,攻击面最小,入站一律 deny/drop 只开需要的端口,ipv6 除了蹲点打窝,其他的也不太容易被扫,嫌麻烦那就简简单单设个强一点的密码,祈祷自己不被扫。
|
 |
7
billlee 2023-11-22 18:22:03 +08:00
VPN 有什么麻烦,反正都是要开梯子的的,加一条分流规则而已
|
 |
8
jeesk 2023-11-22 21:58:07 +08:00
知道 cloudflared 的认证功能吗? 要先访问部署的服务, 先认证再访问。
|
|
9
jeesk 2023-11-22 21:58:48 +08:00
你部署 webdav 非要裸奔, 你要是设置个账号密码认证,恐怕也不太好盗取你的资料吧?
|
 |
10
wheat0r 2023-11-22 23:11:28 +08:00
webdav 带 basic auth 的安全性可以吧
|
 |
11
serafin 2023-11-23 00:51:37 +08:00
DDNS+IPv4 和 DDNS+IPv6 安全方面区别不大。认为 IPv4 安全是因为没公网的 IPv4 不对外提供服务。想要安全就 VPN / zerotier 虚拟组网。想要方便就端口直连。折中用内网穿透或者 CF tunnel ,即不安全(相对 VPN )又不方便(相对直连)。
|
 |
12
hysjw 2023-11-23 01:00:51 +08:00 via iPhone
VPN 一点不麻烦,而且这是最安全最不容易被破坏的方式
|
 |
13
iamwin 2023-11-23 01:53:26 +08:00
完全不怕, 我装了硬件防火墙, 对外只开放 vpn 端口, 并且写了代替 ddns 同步动态 ip 的程序来防止逆向探测
|
 |
15
kenvix 2023-11-23 10:09:15 +08:00
|
 |
16
deorth 2023-11-23 10:27:49 +08:00 via Android
防火墙?
|
 |
17
relife 2023-11-23 11:33:05 +08:00
现在很多家庭网络分配的 ipv6 都是假公网,根本不能给外部访问 XD
|
 |
18
HackerTerry 2023-11-23 12:13:44 +08:00
|
 |
19
abcbuzhiming OP |
 |
20
kilvn 2023-11-23 16:29:02 +08:00
tailscale 不就行了,有什么好纠结的,webdav 设置密码是常规操作,加上 ts 内网访问没什么问题。
|
 |
21
ll26571 2023-11-24 10:32:16 +08:00
把密码设好就已经能应付大部分的攻击了,哪有那么容易被搞啊
|
 |
22
que01 2023-11-24 16:43:12 +08:00
webDAV 感觉性能有点捉急,动不动就卡,smb 实际上你公网 ip 应该会被封 smb 端口,不连 vpn 你其实也用不了 smb 。。。另外我是用的 ros 在拨号,整体封了国外 ip ,然后做了个防火墙,一扫就封 IP....然后 nat 转发把 nas 暴漏出来这样就还好
|
 |
23
SiADGRZXoxhpHoL7 2023-11-25 11:47:15 +08:00
再买个防火墙,不行就内网再加个入侵检测。再不济就加个网闸。一定有适合你的方案。
|
|
24
relife 352 天前
@abcbuzhiming 我这边广东电信是这样的
|
|
25
abcbuzhiming OP @relife 广东电信给的不是公网的 ipv6 地址?能截个图看看不?我没见过这样的
|
 |
26
benjaminliangcom 322 天前
@kenvix #15 我现在也是有这么做,并且 ssl 证书要用泛域名的,以免泄露,下一步大栓搭建一个 Decoymini 在 www 上看一下被扫的概率
|
Select Language