请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
自建 Frp + Nginx 方案分享 目前我把页面挂到公网了,但没有用官方 Fn Connect 方案。 我的架构是: NAS 跑 frpc ,云服务器跑 frps frps 将流量转发到云服务器的 127.0.0.1 Nginx 监听公网请求,再反代到本地 127 跑了一段时间,目前看没啥问题。 请教各位佬,这么玩还有什么潜在坑或者优化空间吗?
 |
1
penzi 14 小时 37 分钟前
没有安全性,早点关机
|
 |
2
keyu1103 14 小时 37 分钟前  1
我看 bug 的描述,是在飞牛登录页的 url 上加上特定路径,就可以跳过登录直接访问到文件资源。
所以直接暴露公网的,比如通过 1.1.1.1 可以打开飞牛的登录页,url 后面加路径就暴雷了。 对于飞牛自己的 FNconnect ,通过飞牛域名 url 可以打开飞牛的登录页,url 后面加路径也是一样的。 而 frp 方案,比如你反代的域名是 domain.com ,这个域名能打开你的登录页,在 url 后面加上特定路径,nginx 也会反代,所以你这个方案也是有问题的,在 bug 的影响范围内,没有遇到问题是侥幸。 似乎可以在 nginx 里配置 waf 规则,把特定路径做关键字屏蔽 |
 |
3
Yuri9426 14 小时 36 分钟前
绕这么大一圈意义在哪,如果非要把飞牛挂公网的话直接走 Frpc -> Frps -> WAF -> Internet 的路径就好。
|
 |
4
stinkytofux 14 小时 35 分钟前 1
作死操作, 这么玩等下一个 0day 直接暴死. 只要暴露到公网就是死, 跟你用什么方式没关系. 最优方案就是套个 VPN.
|
 |
5
fibroblast OP @penzi 没必要吧
|
|
6
fibroblast OP @keyu1103 懂了
谢谢 我知道 |
 |
7
adminpro 14 小时 25 分钟前
|
 |
8
cctv6 14 小时 23 分钟前 via Android
服务有漏洞的话,只要从公网能访问到,不管中间套了多少层都没有意义。
除非你中间给加了 waf ,并且 waf 能做到正确识别到并且能阻断恶意请求。 做这么多,不如在 nginx 上套一个端口敲门来得实在 |
 |
9
yGin 14 小时 19 分钟前
@fibroblast #5 建议这几天即便不关机,也最好关闭公网的访问,这段时间安全圈都在研究飞牛,已经有朋友给厂家发邮件了,漏洞不止流传的那俩个。
|
 |
10
rayyume 14 小时 13 分钟前
我的 x86 小主机之前一直被人跑脚本试密码,自从 fn 出事后都没人光顾了,估计资源都倾斜到 fn 了 hhh
|
 |
11
BeautifulSoap 14 小时 13 分钟前
你应该使用 tailscale 组网,而不是将任何家庭内部网络服务直接暴露到公网中
我无法理解为什么有人敢直接把家庭服务就这么暴露到公网里的,你暴露的服务有漏洞就意味着整个家庭网络在黑客面前裸奔 就像这次飞牛 OS 一样,有人说加 WAF ,你的 WAF 只能防这次漏洞的,就飞牛这安全下次再爆个漏洞你依旧要出事 |
|
12
fibroblast OP 感谢回复 爱你们
马上去部署雷池 |
 |
13
xycost233 13 小时 29 分钟前
fn connect 只是其中一个入口而已
只要你把服务暴露到了公网且没有任何防护,就能通过路径拼接进行攻击 |
 |
14
JqbR001 13 小时 2 分钟前
> 用的时候远程开机,用完关机~
|
 |
15
Ja22 12 小时 39 分钟前
不是潜在坑,你这不就是裸奔么。要安全就关闭端口,只用 vpn 访问
|
 |
16
v00O 12 小时 22 分钟前
我是从 frp 换到了 tailscale ,frp 只适合小范围使用,等服务多了,稳定性和安全就不够了,我 frp 也用了很多年,后面都换到 tailscale 了,Headscale 也差不多功能
|
 |
17
thereone 12 小时 5 分钟前 1
优先 VPN 隧道连接使用次一点的放公网把强度上上去,把 IP 地址限制到你们城市或者省才能访问。前面挂上 WAF 把 IP 地址限制打开,用户认证打开,黑名单和白名单都打开机器人验证打开。搞到非常难访问的程度基本就没有问题了。
飞牛-->NGINX 反代(开启基本认证)--->WAF(IP 地址限制到你们省市,黑名单常用封禁国内爬虫恶意 IP ,CC 和机器人验证打开,用户认证打开)--->出口路由器(限制访问为国内 IP 地址访问,开启国内爬虫和恶意 IP 封堵)--->公网 你想用首先得是国内正常 IP--->进入出口路由器--->过 WAF 的省内 IP 认证,用户认证,CC 防护,机器人防护,攻击防护---->过 NGINX 反代基本认证--->再到飞牛的 web 界面认证。 上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的,二是的攻破 WAF 的防护,在攻破 NGINX 的基本认证,最后才是飞牛的漏洞或者别的。 以上这些并非是针对飞牛的,任何放到公网上的服务都该做好安全防护任何系统不能保证完全的安全。 |
 |
18
mx1700 11 小时 12 分钟前 via Android
你的方案如果再碰到类似这次的漏洞一样翻车啊
|
|
19
fibroblast OP @thereone 喔 这个好详细啊
|
 |
20
Nexora 11 小时 7 分钟前
这样别人只能访问到你的 nginx , 前提是 nginx 是安全没有漏洞,可能过了一段时间,nginx 报出一个 0day , 然后就可以通过 nginx 攻破你的系统,目前看是安全的,你得记得定期关注 nginx 的漏洞情况,及时更新。
|
 |
21
szzonly 11 小时 0 分钟前 via Android
小白建议就别用飞牛了,你多花点钱买群晖和威联通,支持国产
|
Select Language