nas 新手请教，在 v2 经常看到一种说法不要暴露 nas 在公网。
可是拿群晖 nas 来说，系统集成的各种功能不就是为了方便公网使用 nas 吗？

目前有一台白群晖 nas ，鉴于 qc 访问实在是慢如蜗牛，所以配置了仅 ipv6 ddns 绑定自己的域名（宽带没有 ipv4 公网地址），op 硬路由仅开放了访问 nas 的端口，dsm 系统用户添加了两步验证，如此配置的情况下还是会被爆破吗？

另外测试发现运营商 ipv6 地址没有封锁 80 、443 端口，在绑定二级域名的情况下使用 443 端口会被警告吗？

不是爆破的问题，而是可能会有漏洞导致不需要爆破就能进入系统。
VMware 系统以前出过漏洞，登录界面不需要输入管理员账号密码，直接用漏洞就可以获得管理员权限。
更别说 NAS 这样民用级的东西了。

我家用的 nas 以及公司用的 nas 在公网 ip 上暴露了好几年了，每时每刻都能看见不明设备 ip 扫描的记录，也没见被什么人黑进去，只要 nas 设置好防护就没什么问题。

这个确实，可如果仅使用 qc 也会存在这样的隐患吧？不过群晖系统好像还没有出现漏洞的历史记录

比如说，我有 ABCD 四个服务暴露在公网，假设其中一个服务有漏洞，就有可能导致 NAS 被攻破
平时说的不要暴露在公网，严格来说指的是不要不做防护就暴露出来，还是刚刚那个例子，如果我用 VPN 把 ABCD 都包起来，再暴露，那么即使他们都有漏洞，也不必担心。假如真的那么不好运，VPN 有漏洞，那么更换 VPN 即可，不必费心排查其他漏洞

群晖系统能够查看扫描记录吗？只看到用户设置里面有登录历史

如果只用 IPV6 访问的话，这东西时不常会变，地址又那么多，再来个高位端口被扫到应该挺难的。是不是就安全多了。
如果碰巧被有漏洞的人扫到了入侵了安了后门了那就不好说了。

学习了，不过我目前就只有访问 dsm 的需求，后面服务多了应该是要考虑 vpn 了

以前没出现过漏洞不代表不会有漏洞。
毕竟连 CPU 设计不当都会导致数据侧信道泄露这个普通人你说会想得到嘛。
所以一般来说要安全的话，就要用信得过的协议和软件，比如直接用 SSH 连接访问，然后祈祷 SSH 不要爆出奇怪的漏洞，又比如用 wireguard 或者 zerotier 之类的 VPN 走内网隧道来访问。

当然了，安全性和便捷性本就是冲突的，只要你自己能接受一定的妥协就行。

受教了，看来得重新编译 op 固件把 vpn 加上先学习一个了

刚出的新闻，群晖出了个核弹级的 0day 漏洞，通过公网 ip 和 qc 都可以被执行，直接获取 root 权限，不需要登录。还好是白帽先发现的，刚出了紧急更新

一般来说，至少要做一下端口映射，不要把原服务端口直接暴露到公网，对于 http 服务还可以做一下反向代理。

按最小暴露原则使用，非必要服务不要直接暴露在公网。需要暴露的服务做好防护措施再暴露出来。
我自己使用动态公网 IP 四年多了，到现在都没有遇到过被攻击的现象。
NAS 服务搭建起来，多人使用如果说有些服务不直接暴露在公网，使用体验大大打折扣。

看到了，还好有升级强迫症已经是最新版本了

只要一直最新版本的软件和系统，没有那么多 0day 。0day 值钱的很，为了抓你的肉鸡浪费 0day 可不合算。要真的安全，你得像保密网络一样，物理隔离

换个端口，我之前一直 https+otp 也没啥事，就暴露页面，ssh 没有。现在用 vpn 是怕运营商找茬

我 nas 一般暴露公网都来个蜜罐，看它怎么玩😅

我暴露一年多了 公网 ip unraid ，之前开 ssh 被爆破了 一直在跑字典，后来关了就好了。域名 映射了 差不多是个服务在公网。没啥事

增加 IP 白名单

lucky 反代，然后只开了一个端口号，算不算暴露？

把 IP 放出来，让论坛的道德黑客帮你渗透测试下（坏笑——)

最大的危险莫过于被人黑进来，多年下载积攒的毛片被人剪切复制走。。。

主要是，“把 nas 暴露在公网”这件事本来就是每个人的理解不同的。
有人直接把端口映射到公网，搭配 admin/admin 弱口令就这么用了，最后付出了巨大的代价哭诉千万别把 nas 直接暴露公网。
另一个人套了反代，也没有用弱口令，连续几年都没事后他对前一个人的劝告嗤之以鼻。

一言以蔽之：涉密不上网，上网不涉密

公网自然风险大增

找 0day 可不是为了抓你一台当肉鸡。nas 在勒索病毒作者眼里可是金山银山，找出一个核弹漏洞就可以勒索几十万上百万的用户，nas 里存的可都是用户宝贵的数据，被加密了很大一部分人都得乖乖交钱

重要数据异地多备份几份，爱勒索就勒索，大不了重装。我也没 ipv 的公网，顶多一个 ipv6 ，关键这 ipv6 时不时还自动更换地址，外加一个两步验证。这要是能扫到并入侵我也无话可说。

ipv6 暴露在公网，ssh 端口 22 没改，甚至连 sudo lastb 都没有记录

1 、使用非常用端口、非默认端口
2 、使用强密码
3 、https
4 、及时升级系统以防安全漏洞
基本做到以上这四点我感觉就可以了，我感觉风险不大。至少我是这么做的。

你想想那些公开的网站，比如淘宝、B 站，难道会因为害怕被攻击就不提供服务吗？不可能的。
暴露在公网肯定比不暴露更有风险。但因为害怕这一点风险就不去做我感觉有点因噎废食。

另外，我也是比较赞成套一层 WireGuard 之类的 vpn 的。我也是这么做的（用 WireGuard+smb 访问 NAS 内容）。不过我还是暴露了公网，毕竟我全家还在用 Synology Photos ，我不可能让我父母每次看照片前都要开个 vpn 。

问一下，我大部分设备都连的同一个 zerotier ，然后自己也用路由器搭了个 zerotier moon 节点，这个路由是有公网 ip 的，然后其他设备都会连接 moon 节点，但是都是默认使用那样，就是打开个路由器的防火墙之类的。这样算是暴露在公网吗

并不是孤立地说这事很“危险”。当然可以安全的。但是你这样做了还要安全，自己需要像专业网安人员那样花很多精力做配置和长期维护。也就是说为安全付出的脑力成本明显大于不放公网。

至于用 qc……当然也不是 100%的安全，但是人家有专业团队做维护，而且通过 Saas 方式平摊了到每个用户的维护成本。

有风险，看你整么权衡了，过去的话我会说没什么人会盯着你那点可怜的数据，以前有人到处采购路由器的漏洞，拿下之后也就干点广告的事（往流量里注入 广告， 替换 id 什么的），据说当时他们年流水好多个亿...现在嘛，，可能会被 ransom ( valicyber.com/resources/a-brief-history-of-nas-ransomware/)

套 CF 再加规则转发端口 被爆破几率大吗？

20 年前，所有人都是 win2003 公网，微软还在更新，没问题。
20 年后，微软早已不更新，win2003 暴露在 ipv4 公网默认 3389 端口不用 30 秒就是肉鸡了。

安全取决于是否及时更新以及对应的系统厂家给不给力。

在家里部署 VPN ，用 VPN 访问！

我同你的一样，甚至其他设备科学上网也是通过 zerotier 的内网 ip 连接家中软路由做系统代理。个人理解除非 zerotier 出现安全漏洞，否则应该是稳的

我是设置的登录失败直接 block ，最近 block list 已经很长了，但应该都是些自动脚本在扫，成功的概率不大。

你的 NAS 会从 你的 私人存储变成公用存储和 黑客用的肉鸡

试试 openvpn 比较安全便捷 拨号进来所有设备都能访问

脚本小子天天扫，扫到你卡的不行，试过一次就老实了

群晖端口暴露公网用，有一段时间被疯狂尝试 admin 登录，然后设置了策略登录失败 1 次就锁 ip ，已经半年没受到过安全提醒了

只开一个 v2ray 的端口连回家+fail2ban

主要是，你永远不知道你安装的服务，是否安全可靠，所以，非必要不暴露；
vpn 回家、xray 反代回家，都可以实现从外面访问家里

Q：系统集成的各种功能不就是为了方便公网使用 nas 吗？

A：不是。甚至应该仅内网使用。

分享一下家里如何搭建 VPN 呗？是在 NAS 上搭建？还是路由器上？