V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dingdangnao
V2EX  ›  宽带症候群

暴露公网 IP 有哪些防护措施?

  •  
  •   dingdangnao · 2019-09-20 10:37:42 +08:00 · 12990 次点击
    这是一个创建于 1891 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近管电信要了公网 IP,把家里的群晖暴露在公网上了,然后收到一些触发登录封锁的通知,

    image

    因为也想在公网有相对完整的体验,把所有端口都转发出去了,

    目前设置了登录封锁 和 防火墙,用户密码也相对复杂,想问问还有没有其他手段能有效阻止攻击什么的?

    image

    image

    第 1 条附言  ·  2019-09-20 20:11:48 +08:00
    所有端口的意思是所有需要用到的端口😂有歧义了
    40 条回复    2019-09-30 16:31:11 +08:00
    trepwq
        1
    trepwq  
       2019-09-20 10:46:03 +08:00 via iPhone
    不用标准端口可以减少很多麻烦
    cwbsw
        2
    cwbsw  
       2019-09-20 10:47:53 +08:00
    在外面用 VPN 连回来,除此之外的端口都关了。
    0DBBFF
        3
    0DBBFF  
       2019-09-20 10:48:09 +08:00   ❤️ 1
    "因为也想在公网有相对完整的体验,把所有端口都转发出去了" 你也是心大
    wogong
        4
    wogong  
       2019-09-20 10:49:02 +08:00   ❤️ 1
    幸福的烦恼,没有公网只能用 tinc/wireguard 之类的就不用担心这个。感觉这个就像公网 VPS 各种被扫一样,开了密钥登录 /非默认端口 /fail2ban 之类剩下的就只能忽视日志中的登录尝试了。
    932279632
        5
    932279632  
       2019-09-20 10:50:07 +08:00
    现在公司也有一台群辉,能教教咋使用吗?主要使用备份功能呢。。。
    wccc
        6
    wccc  
       2019-09-20 10:53:58 +08:00
    牛逼 我只开放 ssh nextcloud 以及 httpproxy openvpn 端口
    上班笔记本都是 openvpn 连回家里 上内网
    MonoLogueChi
        7
    MonoLogueChi  
       2019-09-20 11:04:15 +08:00 via Android
    三个端口就够用了
    wazon
        8
    wazon  
       2019-09-20 11:07:31 +08:00
    改掉 SSH、FTP 等的常用端口即可
    cyang
        9
    cyang  
       2019-09-20 11:12:44 +08:00
    你远程连群晖是通过 SSH 的?不是通过 https 设置个非常用端口?
    opengps
        10
    opengps  
       2019-09-20 11:12:45 +08:00 via Android
    所有端口??别闹,生产服务器都是只开放用到的端口!!!
    swieer
        11
    swieer  
       2019-09-20 11:32:57 +08:00
    不要用 admin 账号
    pC0oc4EbCSsJUy4W
        12
    pC0oc4EbCSsJUy4W  
       2019-09-20 11:33:22 +08:00   ❤️ 1
    两步验证
    her100
        13
    her100  
       2019-09-20 11:39:32 +08:00
    我想知道怎么获得公网 IP
    carrionlee
        14
    carrionlee  
       2019-09-20 11:45:45 +08:00 via Android
    开个反代服务器
    Crusader
        15
    Crusader  
       2019-09-20 11:54:40 +08:00
    把所有端口都转发了。。。
    Mac
        16
    Mac  
       2019-09-20 11:56:55 +08:00
    改默认端口可以避免 99%的攻击
    badcode
        17
    badcode  
       2019-09-20 12:12:01 +08:00 via Android   ❤️ 1
    @her100
    家里的联通,打电话说家里的监控系统需要公网 ip
    oul
        18
    oul  
       2019-09-20 13:12:28 +08:00   ❤️ 1
    群晖的话设置二次验证,停用 admin 账户,改常用端口号。
    Untu
        19
    Untu  
       2019-09-20 13:44:20 +08:00 via Android   ❤️ 1
    禁止 root 账号登录,使用 sudo,修改常用服务嗯端口,尤其是 ssh 不然会天天被爆破
    jzphx
        20
    jzphx  
       2019-09-20 14:53:39 +08:00
    群晖只暴露 http 端口,开启 fail2ban 安全性还是可以的
    dier
        21
    dier  
       2019-09-20 15:03:59 +08:00
    SSH 禁用密码登录,改端口号。
    必须要密码登录的密码强度一定要高,只要记得住,越复杂越长越好
    sadfQED2
        22
    sadfQED2  
       2019-09-20 15:56:02 +08:00
    只暴露必要端口,其他需求通过 vpn 连回去,你根本不知道你哪个端口哪个服务上面可能有漏洞,这你就直接全暴露了?
    dingdangnao
        23
    dingdangnao  
    OP
       2019-09-20 15:56:16 +08:00
    @dier 没找到群晖怎么禁用 ssh 密码,我开了 sftp 好像必须要开 ssh ?密码应该算复杂了。吧。
    lanternxx
        24
    lanternxx  
       2019-09-20 15:58:45 +08:00
    群晖别用默认的 5000 5001 端口
    xxq2112
        25
    xxq2112  
       2019-09-20 16:27:45 +08:00 via iPhone
    首先不回应 Ping,然后避开默认端口
    geekvcn
        26
    geekvcn  
       2019-09-20 16:58:28 +08:00
    因为也想在公网有相对完整的体验,把所有端口都转发出去了,你这习惯神仙都救不了,人家想尽办法关闭非需要端口,各种改常规端口号,禁 Ping,你倒好反着来,什么习惯啊,为什么要转发所有端口才叫完整公网体验,谁教你的?
    darksword21
        27
    darksword21  
       2019-09-20 17:18:08 +08:00
    所有端口。。
    roryzh
        28
    roryzh  
       2019-09-20 17:20:36 +08:00
    shodan
    flyfishcn
        29
    flyfishcn  
       2019-09-20 18:31:44 +08:00   ❤️ 1
    SSH 用证书密钥登录,关闭密码登录或者设置非常复杂几乎不可能破解的密码,再配合失败封禁。就可以放心对公网开放,一般除非有溢出提权漏洞,不然基本很安全。
    liuqi0270
        30
    liuqi0270  
       2019-09-20 18:37:51 +08:00
    nat 设置 out interface ! Lan。可以获取访问真实 IP 而非你的网关。然后按策略 ban 攻击 IP。不过遮掩设置内网不能访问你的公网地址。
    alphatoad
        31
    alphatoad  
       2019-09-20 23:08:57 +08:00 via iPad
    我的做法是用跳板机直接获取公网 IP,fail2ban 自动封 IP,ssh 禁密码,http 用 nginx 反代到 real server
    alphatoad
        32
    alphatoad  
       2019-09-20 23:09:47 +08:00 via iPad
    唯一的问题是,synology 的自动封 IP 功能似乎会无视 X-Forward header 而只认源 IP
    liuqi0270
        33
    liuqi0270  
       2019-09-21 09:01:48 +08:00
    @alphatoad x-forward heard 带过来的不就是源 IP ?不是你的代理 IP 或网关 IP。封了有啥问题?
    alphatoad
        34
    alphatoad  
       2019-09-21 09:04:40 +08:00 via iPhone
    @liuqi0270 我的意思就是会无视 x forwarded 而把代理服务器 IP 给封了
    hymzhek
        35
    hymzhek  
       2019-09-22 13:40:12 +08:00
    liuqi0270
        36
    liuqi0270  
       2019-09-22 14:34:40 +08:00
    @alphatoad 那在反向代理里把相关配置更好就行了
    Chingim
        37
    Chingim  
       2019-09-22 19:04:03 +08:00 via Android
    上 https 没?不然密码再复杂也没鬼用。

    我也暴露在公网了,不过只对公网开放 443 端口。ssh 权限太大,而且日常使用也不需要,只能在内网访问。

    路由器也开了 443
    JoeoooLAI
        38
    JoeoooLAI  
       2019-09-25 14:05:34 +08:00
    quick connect 可能是最安全最不折腾的了
    Ruslan
        39
    Ruslan  
       2019-09-25 21:14:25 +08:00
    我是 SSH 端口不暴露给公网,然后管理员账户开了两步验证。
    siparadise
        40
    siparadise  
       2019-09-30 16:31:11 +08:00
    不是类似 443 转 6549 之类的,还是你直接原端口转出去了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   910 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 21:47 · PVG 05:47 · LAX 13:47 · JFK 16:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.