求教 nas 做反向代理如何做好网络防护
我现在是域名挂在 cloudflare 下,不需要速度的就用 cloudflare tunnel 了,但需要速度的服务就单纯 http 反代了,套 cf cdn 也太慢了,我需要内网也用域名访问,但是我最近换了宽带,v4 公网变成固定 ip 了,这下子一下就不放心了,一 ping 就出来了,这样也不敢告诉别人域名,想请教各位大佬,有什么保护真实 ip 的手段,
最简单的方法套 VPN ,对外只暴露 VPN 服务的端口
要在公网上提供服务就避免不了 IP 暴露,互联网工作原理摆在那。要么做个反代跳板隐去真实服务 IP ,要么用 VPN 、wireguard 之类套一层加密回去访问
VPN/代理的老本行。如果你平时手机等其他设备出国,可以让家里当中转,路由配置一下家里的网段直接转发不走机场,这样你公网只需要开放一个代理端口就行了。
只放通 web 端口允许内网访问就行 pve 很好设置,v4 的话问题不大,路由器不放通就不通,主要是 v6
谢谢楼上各位,大佬,目前只开了 2 个反代用的端口,VPN 也搞了,但还是反代方便
担心安全的问题还有一个 就是如果想把 nas 上的文件分享给别人怎么办。直接告诉域名我现在是不敢的
#6 nas 同步到百度云分享吧,vpn 包打一切
你可以自己用直连域名,告诉别人用 cf 的域名啊
也是一个办法,我忘了可以一个服务设多个地址了
你身边都是黑客吗?为啥用域名分享文件都担心啊
百度云同步很费劲的,我折腾了几次以后都是客户端直接上传
http 域名分享公网 IP 就直接暴露了啊。没准就泄露了
除非你是固定公网 IP 的。否则不重新拨号过几天也会被踢下线换一个 IP 啊。再说了,不暴漏也每天有无数的扫描器扫啊
21 年,过年回老家把家里工控机转发了一个端口到域名上,方便远程链接,结果 12 小时不到就被勒索软件全盘加密,还好设备没有在内网继续扫描传播,不然我的 winserver 可能就完蛋了,主要是粗心开了无密码登陆,因为这台工控机一直都是内网远程用的,ipv4 有公网其实就是一直被扫的状态
自相矛盾!不放心自己的技术能力就不要放到公网上!
账户强密码,有 2 步验证的开启,其余的别太担心了,太担心不如直接关机。
所以我一开始就说了我就是固定公网 IP 才会担心这个事情
nginx 启用双向证书认证的 https 的反代,很安全。具体部署方式可以问 gpt 。
操作系统在支持期里,打上最新补丁,强密码,好几台设备 10 几年了从没中过招。0day 不值得用在你们身上
终极方案就是 VPN ,别纠结也别折腾,答案只有一个:VPN ,嫌麻烦可以自动化
tailscale or zerotier 吧,不要暴露公网了
给你的 nas 开启防火墙白名单,只允许固定的(几个 ip 或者 ip 段)访问,这样就算你公网 ip 暴露也不怕!粗暴简单,不影响速度!
/t/911157 hesudu.com/t/911157
暴露公网无路如何不太行,就算能挡住安全问题,就算每天被人扫带来的带宽占用感觉问题也很大。
你想要的答案,NAS 厂商的指导手册里都有。你要是信不过厂商也信不过自己的技术,要么用网盘分享要么不要固定 IP 。其他都解决不了你现在的担忧
没事的,别用默认端口,开启多次尝试封 IP ,SSH 别乱开。
访问端只有固定的几个就弄 vpn ,不想对访问端做限制就提高密码强度,按需开放端口,不用了就关闭;也可以把两者结合起来,平时自己用走 VPN ,想给他人用就临时开放端口。
nginx + https
IP 发出来我帮你诊断一下
这样流量没法用了
不放在根目录下就行吧,域名路径不对的返回 444 ,然后定时 review 一下可疑 ip 段就行吧,不行再按照不同的服务限制一下访问的方法,感觉就比较靠谱了。也可以先把阿里云之类的服务商 ban 了,要不然 log 太多哈哈
分享给别人的链接用一个专用端口,链接套 cf 或者其他 cdn ,nginx 这个端口只允许 cdn 的回源 ip 访问。其他访问通过 vpn 。