V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xinmans
V2EX  ›  宽带症候群

家里的 NAS 走路由器端口映射安全性如何?

  •  
  •   xinmans · 2023-09-22 14:21:20 +08:00 via iPhone · 3222 次点击
    这是一个创建于 457 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有一些服务需要在外面访问,目前有两个方案

    1 , 走 tailscale 等虚拟局域网模式访问,安全性肯定是 OK 的,缺点是频繁要连 tailscale 客户端,手里来来回切换很烦。

    2 , 直接路由器暴露端口来访问,但是不知道安全性如何,会不会被黑客扫描入侵,一个 0day 就完全爆破了。

    目前 emby ,群晖 music 等服务需要直接外面访问。
    34 条回复    2023-09-30 08:19:27 +08:00
    YummyChip
        1
    YummyChip  
       2023-09-22 15:07:23 +08:00
    bjzhou1990
        2
    bjzhou1990  
       2023-09-22 15:10:23 +08:00
    我这非公网 IP ,开 NAT1 以后 ROS 后台一直有提示 ssh 端口和 telnet 端口再被尝试登录
    xinmans
        3
    xinmans  
    OP
       2023-09-22 16:46:02 +08:00 via iPhone
    @bjzhou1990 所以觉得不太安全,我目前还是走 tailscale ,除非 qB 那种必须开放的
    bjzhou1990
        4
    bjzhou1990  
       2023-09-22 16:54:54 +08:00
    @xinmans 防火墙只允许指定 IP 访问
    yukinomiu
        5
    yukinomiu  
       2023-09-22 16:59:30 +08:00
    @xinmans 家里路由器开 vpn, 比如 wireguard, 然后不在家时, 先 wg 回家, 再连接 nas. 这个流程应该和 tailscale 类似.
    安全性 >> 便利性. 如果哪天 nas 因为端口映射直接被爆破了, 丢失数据的代价肯定比多开一个客户端大的多.
    jian0jian
        6
    jian0jian  
       2023-09-22 17:14:57 +08:00
    反代+双重验证,反正安全。 所有服务跑在一个端口上
    goodryb
        7
    goodryb  
       2023-09-22 17:29:26 +08:00
    我是直接端口映射出去的, 其他方式太麻烦了
    bing1178
        8
    bing1178  
       2023-09-22 17:34:55 +08:00
    我的 alist 就是 公网 https 可以访问。 没事。安不安全 取决于你的技术
    byty18768
        9
    byty18768  
       2023-09-22 17:44:35 +08:00 via iPhone
    ss 回家,然后分流 192.168.0.0/24 分流给 ss😁
    superchijinpeng
        10
    superchijinpeng  
       2023-09-22 18:00:04 +08:00
    分流一下就行了所有家里的设备都走 tailscale 网卡
    dhuzbb
        11
    dhuzbb  
       2023-09-22 19:01:12 +08:00
    家里有公网 IP 的话,只需要路由器暴露 wireguard 端口号即可。客户端链接 wireguard 之后,就可以和局域网一样访问家里设备。这样安全性最高。使用也比较方便。
    xixiv5
        12
    xixiv5  
       2023-09-22 20:29:33 +08:00
    @bjzhou1990 没有公网别人是怎么连进来的哇?难道是 ipv6 进来的吗?
    bigshawn
        13
    bigshawn  
       2023-09-22 22:46:44 +08:00 via iPhone
    一般用什么代理工具,支持哪些协议,nas 上搭一个吧。
    IV16SL
        14
    IV16SL  
       2023-09-22 22:54:58 +08:00   ❤️ 1
    开了 5 年多了,没遇到安全问题,除非你有巨大的价值,否则 0day 漏洞应该轮不到你身上。
    cadmuxe
        15
    cadmuxe  
       2023-09-23 01:00:49 +08:00
    cloudflare tunnel 非常好用,但是他们的政策不让用于流媒体服务。
    xiamy1314
        16
    xiamy1314  
       2023-09-23 08:47:33 +08:00
    openwrt 公网直接端口转发 https 访问。。。没那没多花里胡哨
    xinmans
        17
    xinmans  
    OP
       2023-09-23 08:55:45 +08:00
    @jian0jian nginxproxymanger 这种方案?
    dude4
        18
    dude4  
       2023-09-23 10:14:43 +08:00
    安全和便利一直都是天秤的两端,只有取舍,没法两全其美。
    我自己是分两种:
    1. 大流量,譬如在外看 NAS 的视频,就直接暴露一个高位端口,搞免费 HTTPS 证书套上,用 webdav+复杂共享文件夹名,实测用 potplayer 之类可以跑满家宽上传带宽;
    2.小文件共享,就用 wireguard 搭建局域网环境,然后直接用 samba 之类的传输了,兼容性最好。注意 WG 是 UDP ,所以会被很多 ISP 限流,所以只能传小文件。
    tonyaiken
        19
    tonyaiken  
       2023-09-23 10:57:10 +08:00 via iPhone
    Tailscale 可以 on demand ,不需要来回切换
    xpn282
        20
    xpn282  
       2023-09-23 12:48:08 +08:00
    OpenWrt 的代理工具可以可以开服务端的,ss 服务、v2ray 服务………相当于开了一个节点

    然后开一个端口给这这个节点

    外网用代理 app (比如小火箭之类的),添加家里的节点,然后做一条规则,把家里的网段代理到这个节点即可!

    效果是回家、出国同时进行、且互不干扰。
    kiracyan
        21
    kiracyan  
       2023-09-23 14:57:40 +08:00
    我现在是路由器端口映射,开防火墙,只映射部分非常用端口的服务,然后其他的统一走 VPN ,不公布的域名+DDNS+动态公网 IP ,暂时没遇到什么问题。
    glouhao
        22
    glouhao  
       2023-09-23 19:40:40 +08:00
    你别用默认端口
    xinmans
        23
    xinmans  
    OP
       2023-09-24 10:45:46 +08:00 via iPhone
    @xpn282 我直接 tailscale 的 node exit 模式就可以了
    xinmans
        24
    xinmans  
    OP
       2023-09-24 10:46:20 +08:00 via iPhone
    @kiracyan 防火墙怎么整?路由器是商版的,除非自己整 openwrt 之类的
    xinmans
        25
    xinmans  
    OP
       2023-09-24 10:47:37 +08:00 via iPhone
    @tonyaiken
    @tonyaiken 主要我要用出国旅行和访问内网+访问国内网站同时满足,所以必须 tailscale node exit 常开(常开就访问国内网站很慢)
    xinmans
        26
    xinmans  
    OP
       2023-09-24 10:48:03 +08:00 via iPhone
    @dude4 分而治之比较复杂,想搞一个通用的方案
    xpn282
        27
    xpn282  
       2023-09-24 14:33:30 +08:00
    @xinmans #23
    这个模式会把所有的流量都代理回家了。。。。并不是一个很好的方案。
    国内外或翻墙的流量其实没必要先回家的,即绕路又受家里的上传带宽限制
    xinmans
        28
    xinmans  
    OP
       2023-09-24 19:44:04 +08:00 via iPhone
    @xpn282 家里下行 1000M ,上行 300M ,应该够用。
    dude4
        29
    dude4  
       2023-09-25 10:47:25 +08:00
    @xinmans 如果你不在意 UDP 限流,wireguard 可以满足需要,设置一下可以只让局域网网段走 WG 网关,其余的走手机默认外网。
    xinmans
        30
    xinmans  
    OP
       2023-09-28 15:29:51 +08:00 via iPhone
    @dude4 tailscale 有方案吗
    xinmans
        31
    xinmans  
    OP
       2023-09-28 15:30:38 +08:00 via iPhone
    @xpn282 不想来回切换小火煎和 tailcale ,所以 exit node 模式能够满足我的诉求
    xpn282
        32
    xpn282  
       2023-09-28 17:31:30 +08:00 via iPad
    @xinmans
    可能没看懂我说的方案。
    我是说小火箭可以全部搞定你的需求所有,不需要在使用 Tailscale ,也不存在来回切换问题。。。。

    Tailscale 的 exit node 模式的缺点是绕路,小火箭方案不会。
    xinmans
        33
    xinmans  
    OP
       2023-09-29 10:57:06 +08:00 via iPhone
    @xpn282 不在家的时候小火箭回不了家,访问不了家里的服务吧?
    xpn282
        34
    xpn282  
       2023-09-30 08:19:27 +08:00
    @xinmans
    9 楼 20 楼 的内容 都白说了………
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1396 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:59 · PVG 00:59 · LAX 08:59 · JFK 11:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.