V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
misadonfdfl
V2EX  ›  宽带症候群

暴露内网服务,哪种方式最安全?

  •  1
     
  •   misadonfdfl · 2023-10-22 19:15:13 +08:00 · 4802 次点击
    这是一个创建于 389 天前的主题,其中的信息可能已经有所发展或是发生改变。

    只考虑方案,不考虑其他外在因素。

    1 、云服务器安装 Tailscale / ZeroTier + Nginx ;

    2 、云服务器安装 Tailscale + ACL + Nginx ;

    3 、DDNS + 端口;

    4 、DDNS + CDN ;

    5 、FRP ;

    6 、其他方案,请说明。

    30 条回复    2023-10-24 16:45:42 +08:00
    xbird
        1
    xbird  
       2023-10-22 19:54:25 +08:00
    内网反向穿透+端口碰撞连接
    zhcode
        2
    zhcode  
       2023-10-22 19:59:37 +08:00
    wireguard
    Tink
        3
    Tink  
       2023-10-22 20:17:57 +08:00
    最安全必然 cf tunnel
    makelove
        4
    makelove  
       2023-10-22 20:22:38 +08:00
    服务装虚拟机里?
    thinkm
        5
    thinkm  
       2023-10-22 20:27:10 +08:00
    都一样,反正只暴露服务端口
    a282810
        6
    a282810  
       2023-10-22 21:38:02 +08:00
    cf tunnel +1
    misadonfdfl
        7
    misadonfdfl  
    OP
       2023-10-22 21:40:44 +08:00
    @Tink #3
    @a282810 #6

    确实。但是速度 有点慢。
    asdgsdg98
        8
    asdgsdg98  
       2023-10-22 21:50:10 +08:00
    最安全肯定防火墙,入站全 drop ,只留需要的 ip 或者 ip 段
    ROYWANGDEV
        9
    ROYWANGDEV  
       2023-10-22 22:52:33 +08:00
    我的方案:
    无论 DDNS 域名还是服务域名,都使用三级或四级域名,只暴露一个公网端口,然后通过 NGINX 做流量转发,到不同的内网服务端口并且开启 NGINX Auth ,外面套一层 CDN ,回源 DDNS 域名仅允许 CDN IP 访问。

    当然这样也未必安全,但是普通用户的话,我想应该够了吧。。。。。。
    F798
        10
    F798  
       2023-10-22 23:11:56 +08:00 via iPhone
    蒲公英旁路由?
    DataSheep
        11
    DataSheep  
       2023-10-22 23:12:58 +08:00
    cloudflare tunnels + zero trust, 目前是这套
    wipbssl
        12
    wipbssl  
       2023-10-23 00:14:08 +08:00
    我用方案 2 ,不过代理服务器用的 caddy
    cnbatch
        13
    cnbatch  
       2023-10-23 02:30:58 +08:00
    搞个 DMZ (真正的 DMZ ,企业常用的那种)
    提供服务的机器划分到单独的网段,开端口映射到这台机器(任意方式均可)
    再加个防火墙规则,不允许这台机器主动访问另一个内网
    dangyuluo
        14
    dangyuluo  
       2023-10-23 05:34:12 +08:00
    暴露给你自己,还是所有人?不同情况下“最安全”有不同的定义
    littlecap
        15
    littlecap  
       2023-10-23 07:45:35 +08:00 via iPhone
    内网堡垒机怎么样?
    fruitscandy
        16
    fruitscandy  
       2023-10-23 08:25:07 +08:00
    iptables -A INPUT -s aaa.bbb.ccc.ddd -j ACCEPT
    iptables -P INPUT DROP
    yukinomiu
        17
    yukinomiu  
       2023-10-23 10:34:55 +08:00
    wireguard

    参考企业的方案, 要访问内网服务, 都要 VPN 到内网去. VPN 你可以用 wg, 简单好用
    carrionlee
        18
    carrionlee  
       2023-10-23 10:38:15 +08:00 via iPhone
    我是直接 v2ray 连回家,内网 ip 地址访问
    leefor2020
        19
    leefor2020  
       2023-10-23 11:30:07 +08:00
    我是 IPSec 连回去,证书+密码验证
    我感觉个人用的话算安全了
    Proxy233
        20
    Proxy233  
       2023-10-23 11:31:00 +08:00
    frp + 自己写的 frpm.php ip 白名单校验,白名单 ip12 小时有效
    ```
    {"fun":"NewUserConn","in":{"version":"0.1.0","op":"NewUserConn","content":{"user":{"user":"xxx","metas":null,"run_id":"xxxx"},"proxy_name":"xxx.ssh","proxy_type":"tcp","remote_addr":"x.x.x.x:58558"}},"out":{"reject":true,"unchange":false,"reject_reason":"remote ip not in .frps.pass.json"}}

    {"fun":"NewUserConn","in":{"version":"0.1.0","op":"NewUserConn","content":{"user":{"user":"xxx","metas":null,"run_id":"xxxx"},"proxy_name":"xxx.ssh","proxy_type":"tcp","remote_addr":"x.x.x.x:50389"}},"out":{"reject":false,"unchange":false,"reject_reason":"validity period: 1day 23hour 59minute 44second "}}
    ```
    ccadb
        21
    ccadb  
       2023-10-23 12:49:28 +08:00
    wireguard+1
    hywelI
        22
    hywelI  
       2023-10-23 16:09:15 +08:00
    苹果生态 可以用 surge ponte
    superchijinpeng
        23
    superchijinpeng  
       2023-10-23 16:13:53 +08:00
    cf tunnels
    etnperlong
        24
    etnperlong  
       2023-10-23 17:05:47 +08:00
    这是我自己的方案 有两个机器分别是这样的 运行稳定了很久
    有公网 IP:WireGuard
    没公网 IP:CF Tunnels
    tvirus
        25
    tvirus  
       2023-10-23 17:09:55 +08:00
    cf tunnel 最安全
    VPN 相比 cf tunnel 还要暴露端口
    tankren
        26
    tankren  
       2023-10-23 21:14:11 +08:00
    我用 ddns+traefik ,pfsense 做防火墙只有白名单的 IPv6 网段才能通,IPv4 443 自带天然防火墙
    codingBug
        27
    codingBug  
       2023-10-24 08:07:58 +08:00 via Android
    我用的 FRP ,可以设置密码。CF tunnel 的问题是不太稳定,其他方案没试过
    PXW139
        28
    PXW139  
       2023-10-24 11:34:59 +08:00
    https://www.v2ex.com/t/984699
    正好就是看到你这个问题才想起来写的东西
    dasf53adf
        29
    dasf53adf  
       2023-10-24 16:35:49 +08:00
    FRP 的 STCP 功能最安全。
    qingshengwen
        30
    qingshengwen  
       2023-10-24 16:45:42 +08:00
    @carrionlee #18 +1 ,目前也是这个做法,但是使用中一直有一个问题,就是 ssh 内网的服务的时候,走本地 socks 代理,但是经常用着用着 ssh 就断开了,不知道原因在哪里。(不是超时的那种,有启用 ssh keepalive ,具体报错:Remote side unexpectedly closed network connection )
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3253 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 10:43 · PVG 18:43 · LAX 02:43 · JFK 05:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.