V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
lianyanjiajia
V2EX  ›  NAS

求教 nas 做反向代理如何做好网络防护

  •  
  •   lianyanjiajia · 2023-11-28 11:08:19 +08:00 · 3458 次点击
    这是一个创建于 396 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我现在是域名挂在 cloudflare 下,不需要速度的就用 cloudflare tunnel 了,但需要速度的服务就单纯 http 反代了,套 cf cdn 也太慢了,我需要内网也用域名访问,但是我最近换了宽带,v4 公网变成固定 ip 了,这下子一下就不放心了,一 ping 就出来了,这样也不敢告诉别人域名,想请教各位大佬,有什么保护真实 ip 的手段,
    32 条回复    2023-11-29 20:27:22 +08:00
    sky96111
        1
    sky96111  
       2023-11-28 11:11:04 +08:00
    最简单的方法套 VPN ,对外只暴露 VPN 服务的端口
    wyxls
        2
    wyxls  
       2023-11-28 11:17:57 +08:00
    要在公网上提供服务就避免不了 IP 暴露,互联网工作原理摆在那。要么做个反代跳板隐去真实服务 IP ,要么用 VPN 、wireguard 之类套一层加密回去访问
    libook
        3
    libook  
       2023-11-28 11:27:43 +08:00
    VPN/代理的老本行。

    如果你平时手机等其他设备出国,可以让家里当中转,路由配置一下家里的网段直接转发不走机场,这样你公网只需要开放一个代理端口就行了。
    4s4IYOLfT1s3InRR
        4
    4s4IYOLfT1s3InRR  
       2023-11-28 12:06:01 +08:00 via Android
    只放通 web 端口允许内网访问就行 pve 很好设置,v4 的话问题不大,路由器不放通就不通,主要是 v6
    lianyanjiajia
        5
    lianyanjiajia  
    OP
       2023-11-28 12:20:50 +08:00
    谢谢楼上各位,大佬,目前只开了 2 个反代用的端口,VPN 也搞了,但还是反代方便
    lianyanjiajia
        6
    lianyanjiajia  
    OP
       2023-11-28 13:02:41 +08:00
    担心安全的问题还有一个 就是如果想把 nas 上的文件分享给别人怎么办。直接告诉域名我现在是不敢的
    morgan1freeman
        7
    morgan1freeman  
       2023-11-28 14:55:03 +08:00
    @lianyanjiajia #6 nas 同步到百度云分享吧,vpn 包打一切
    baobao1270
        8
    baobao1270  
       2023-11-28 15:14:50 +08:00
    你可以自己用直连域名,告诉别人用 cf 的域名啊
    lianyanjiajia
        9
    lianyanjiajia  
    OP
       2023-11-28 15:18:24 +08:00
    @baobao1270 也是一个办法,我忘了可以一个服务设多个地址了
    72MpQOSsJhyLs88N
        10
    72MpQOSsJhyLs88N  
       2023-11-28 15:18:56 +08:00 via iPhone
    @lianyanjiajia 你身边都是黑客吗?为啥用域名分享文件都担心啊
    lianyanjiajia
        11
    lianyanjiajia  
    OP
       2023-11-28 15:19:13 +08:00
    @morgan1freeman 百度云同步很费劲的,我折腾了几次以后都是客户端直接上传
    lianyanjiajia
        12
    lianyanjiajia  
    OP
       2023-11-28 15:20:01 +08:00
    @xianghou http 域名分享公网 IP 就直接暴露了啊。没准就泄露了
    72MpQOSsJhyLs88N
        13
    72MpQOSsJhyLs88N  
       2023-11-28 15:25:35 +08:00 via iPhone
    @lianyanjiajia 除非你是固定公网 IP 的。否则不重新拨号过几天也会被踢下线换一个 IP 啊。再说了,不暴漏也每天有无数的扫描器扫啊
    Peek
        14
    Peek  
       2023-11-28 15:52:40 +08:00
    @xianghou 21 年,过年回老家把家里工控机转发了一个端口到域名上,方便远程链接,结果 12 小时不到就被勒索软件全盘加密,还好设备没有在内网继续扫描传播,不然我的 winserver 可能就完蛋了,主要是粗心开了无密码登陆,因为这台工控机一直都是内网远程用的,ipv4 有公网其实就是一直被扫的状态
    busier
        15
    busier  
       2023-11-28 16:49:20 +08:00
    自相矛盾!不放心自己的技术能力就不要放到公网上!
    IV16SL
        16
    IV16SL  
       2023-11-28 18:08:29 +08:00   ❤️ 1
    账户强密码,有 2 步验证的开启,其余的别太担心了,太担心不如直接关机。
    lianyanjiajia
        17
    lianyanjiajia  
    OP
       2023-11-28 19:46:15 +08:00
    @xianghou 所以我一开始就说了我就是固定公网 IP 才会担心这个事情
    yinmin
        18
    yinmin  
       2023-11-28 19:48:19 +08:00 via iPhone
    nginx 启用双向证书认证的 https 的反代,很安全。具体部署方式可以问 gpt 。
    72MpQOSsJhyLs88N
        19
    72MpQOSsJhyLs88N  
       2023-11-28 20:45:00 +08:00 via iPhone
    @Peek 操作系统在支持期里,打上最新补丁,强密码,好几台设备 10 几年了从没中过招。0day 不值得用在你们身上
    32uKHwVJ179qCmPj
        20
    32uKHwVJ179qCmPj  
       2023-11-28 22:09:16 +08:00
    终极方案就是 VPN ,别纠结也别折腾,答案只有一个:VPN ,嫌麻烦可以自动化
    srlp
        21
    srlp  
       2023-11-29 00:13:33 +08:00
    tailscale or zerotier 吧,不要暴露公网了
    dreamflyman
        22
    dreamflyman  
       2023-11-29 03:59:18 +08:00
    给你的 nas 开启防火墙白名单,只允许固定的(几个 ip 或者 ip 段)访问,这样就算你公网 ip 暴露也不怕!粗暴简单,不影响速度!
    serafin
        23
    serafin  
       2023-11-29 05:51:06 +08:00
    LeeReamond
        24
    LeeReamond  
       2023-11-29 07:24:18 +08:00
    暴露公网无路如何不太行,就算能挡住安全问题,就算每天被人扫带来的带宽占用感觉问题也很大。
    72MpQOSsJhyLs88N
        25
    72MpQOSsJhyLs88N  
       2023-11-29 07:25:15 +08:00 via iPhone
    @lianyanjiajia 你想要的答案,NAS 厂商的指导手册里都有。你要是信不过厂商也信不过自己的技术,要么用网盘分享要么不要固定 IP 。其他都解决不了你现在的担忧
    glouhao
        26
    glouhao  
       2023-11-29 08:01:32 +08:00
    没事的,别用默认端口,开启多次尝试封 IP ,SSH 别乱开。
    lovelylain
        27
    lovelylain  
       2023-11-29 08:06:55 +08:00 via Android   ❤️ 1
    @lianyanjiajia 访问端只有固定的几个就弄 vpn ,不想对访问端做限制就提高密码强度,按需开放端口,不用了就关闭;也可以把两者结合起来,平时自己用走 VPN ,想给他人用就临时开放端口。
    DoubleKing
        28
    DoubleKing  
       2023-11-29 09:56:56 +08:00
    nginx + https
    jowan
        29
    jowan  
       2023-11-29 10:05:21 +08:00
    IP 发出来我帮你诊断一下
    lianyanjiajia
        30
    lianyanjiajia  
    OP
       2023-11-29 10:57:00 +08:00
    @dreamflyman 这样流量没法用了
    ButcherHu
        31
    ButcherHu  
       2023-11-29 15:16:20 +08:00
    不放在根目录下就行吧,域名路径不对的返回 444 ,然后定时 review 一下可疑 ip 段就行吧,不行再按照不同的服务限制一下访问的方法,感觉就比较靠谱了。
    也可以先把阿里云之类的服务商 ban 了,要不然 log 太多哈哈
    MoonLin
        32
    MoonLin  
       2023-11-29 20:27:22 +08:00   ❤️ 1
    分享给别人的链接用一个专用端口,链接套 cf 或者其他 cdn ,nginx 这个端口只允许 cdn 的回源 ip 访问。其他访问通过 vpn 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1465 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:14 · PVG 01:14 · LAX 09:14 · JFK 12:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.