这是一个创建于 144 天前的主题,其中的信息可能已经有所发展或是发生改变。
坐标成都,周末搞了个双栈的家宽,目前用 openwrt+ddns+泛域名解析+nginx 代理了一些家里的服务(主要是 nas 相关的),以便在外网使用,对外只暴露了两个高位端口,套上了 https ;
rt:请问这样是否相对安全,还有什么需求注意的, 以及如何预防被封宽带或者被攻击
28 条回复 • 2024-06-20 10:04:01 +08:00
 |
1
LanhuaMa 144 天前
不要跑大流量,不要 PCDN ,把你的 http(s) 端口关掉换成 frp
|
 |
2
MYlyc 144 天前
CF 的 tunnels
|
 |
3
yyzh 144 天前 via Android  1
坐等关停写保证书
|
 |
4
miniliuke 144 天前
自用的话,我 http 的服务都好几年没人管
|
 |
5
dhuzbb 144 天前 3
记住一个道理,永远不要对外暴露家里的任何 web 服务。
比较安全的方案是自建 wireguard 这种方案,一行 docker 命令即可,wg-easy 带有图形化的管理界面。 在安全性方面,只需要在路由器层面开放一个 wireguard 的 udp 端口号即可。 带来的好处很多: 1 是速度快,有公网 IP 是直连的。比任何商用服务的速度都快得多,当然取决于你家里宽带的上传速度。 2 完全开源免费,支持多平台。 3 一键直连家里内网,访问习惯不需要做出任何改变,和在家里一样。 |
 |
6
smartruid 144 天前
如果只有自己用的话 建议用 vpn 接入,比如楼上说的 wireguard
|
 |
7
hexo 144 天前
只暴露 vpn 端口是比较安全的,缺点就是手机和电脑要先连接 vpn 再访问服务,自己还好,如果有家人要访问的话麻烦点
|
 |
8
DoubleKing OP @miniliuke 我 ip6 跑了两年了
|
|
9
DoubleKing OP @LanhuaMa 之前一直有 ipv6 在跑 pt ,跑了一两年,还算稳定
|
|
10
DoubleKing OP @yyzh 可怕
|
|
11
DoubleKing OP @smartruid 主要是我和我对象使用
|
 |
13
kk2syc 144 天前 2
n 年前问过电信区域经理,ddns 域名不一定备案,只要不包含关键词即可。你对外的所有 web 只要加上权限控制(登录系统)就行了,只要不能直接任意访问,就不算对外公开。开 web 被关停的都是挂了不合规的东西或者允许任意公共访问,每一个都嘴硬。规定看不懂,变通也不会。我电信公网 ip 对外 git8443 ( 4 年),群晖 5000 ( 6 年),海康 NVR8080 ( 10 年),家人在用,git 甚至给朋友们( 20+人)一起用,都没问题。
|
 |
14
caola 144 天前
对外开放 web 的访问真是心大,我现在都不敢直接了,
而是只做为 web api 和 文件服务器 对外开放,但是必须验证 token (其实就简单的验证一个加密后的时间参数,误差 5 分钟内的都放行),要是验证不通过连 404 都不返回了,改为直接 TCP RST 强行中断连接。 |
 |
15
agostop 144 天前 via Android
对外只暴露了两个高位端口
----------- 你是如何保证只暴露了这两个端口? |
|
16
agostop 144 天前 via Android
如果可以确定只是暴露了这两个端口,那可以想办法在这两个端口上做一些安全措施也行,但是要安全的话,还是得用 vpn ,相对成本小,安全保障更高
|
 |
17
villivateur 144 天前
不要开 http 类协议,就算高端口也一样,运营商并不是检测你的端口,而是检测协议类型
|
 |
18
Wy4q3489O1z996QO 144 天前
|
 |
19
78786381 144 天前
我开了个 openwrt 和 bitwarden ,有别的需求的时候设置 openwrt 防火墙,暂时没什么问题
|
 |
20
thereone 144 天前
和你一样用 nginx 反代,防护做了一点把 nginx 的默认访问改成返回 444 ,比如 https://xxxx.com:12345 这样能直接进入页面的改成 https://xxxx.com:12345 访问就返回 444 直接中断连接这样就只知道开放了端口不知道跑的什么东西。把要访问的修改成二级目录 https://xxxx.com:12345/qunhui 这种才能进入的同时也可以再加个简单的页面认证,这样基本就不会让人扫描出来了,扫描端口就直接给你返回 444 的连接了。可以探测到的就是你在这个端口跑了一个 nginx 服务但是用 https 是不知道你里面的路径的,一定不能用 http 传输数据就是了。
|
|
21
thereone 144 天前
@thereone 最终达成的效果就是访问
https://x.x.x.x:12345 IP 地址加端口 返回 444 关闭连接不让访问 https://x.x.x.x:12345/qunhui IP 地址加端口加正确的目录 返回 444 关闭连接不让访问 https://xxxx.com:12345 域名加端口 返回 444 关闭连接不让访问 https://xxxx.com:12345/qunhui 域名加端口加正确路径 正常访问 达到以上效果基本就可以了对于普通人防护基本没有问题,再加强的就是不用 nginx 做反代而是内网部署一个开源 waf 用 waf 来做反代同时上一个免费防火墙针对端口扫描之类的也做防护,同时在出口路由器限制可以访问的 ip 地址基本就可以避免绝大部的扫描探测还有攻击了。最后就是勤加更新软件防止漏洞攻击。 |
|
22
DoubleKing OP @78786381 我也想装一个 bitwarden
|
|
23
DoubleKing OP @agostop #16 ipv4 不知道我现在的方案安不安,之前只有 ipv6 ,相同的方案
|
|
24
DoubleKing OP @thereone #20 我现在是必须 https://xxx.域名:端口才能访问,如果不是 https 或者端口不对,,或者 xxx 没有,直接就是 400 或者错误,
|
|
25
thereone 144 天前
@DoubleKing 不要返回 400 的错误返回 400 的错误代表你这里有一个能显示页面的网站,用 444 直接就是关闭连接访问不正确直接关闭连接,浏览器会直接显示无法访问此页面这样才是最好的,只有正确的访问才会显示页面。
|
 |
26
AndreasG 142 天前
@dhuzbb 如果要开 bt 下载需要开放 16881 6881 端口么,我现在家里的宽带开了这两个也开了群晖的 5000 ,还开了 sftp 和 webdav 端口,还有一个游戏的端口,而且没 https ,最近在考虑如何削减开放的端口,目前家里宽带是用 tplink 自带的 ddns ,几块钱买了个域名二次解析到了 ddns 的域名上,老哥有没有啥方案
|
 |
27
misaka00251 141 天前
我开过 Wireguard 结果被运营商 UDP QoS 了……
|
Select Language