请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
最近肥牛的 0day 漏洞很火,分享下我的观点:
普通人如果不对不特定公众人群提供网络服务的话,完全可以不对外暴露任何端口,以获得最大的数据安全。
那在外如何访问家里的数据呢,只需要一个中转服务,把当前设备的 IP 传递给家里的防火墙即可。分享下我的实现方式
- 本地防火墙默认 drop 掉所有的入栈请求,注意是 drop 不是 reject 。被扫描时选择不回应,而不是大喊“不准进”,网络黑暗森林法则
- 本地防火墙上运行一个监听脚本/程序,只通过 cf tunnel 监听来自 cf worker 的认证后的请求,不监听公网请求
- 在 cf Worker 上部署一个中转脚本,用于接受远程设备的 ip 并转发给本地防火墙
- 远程设备,比如手机需要访问家里的设备时,先访问 cf worker 脚本,脚本将设备的 IP 和请求端口等信息传递给本地防火墙的监听程序,再由其加入到防火墙的临时白名单里,允许 10 分钟内入栈连接。超时后将 ip 移出白名单
- iOS 设备可以利用快捷指令,在启动某个 App ,比如群晖 Photos 时自动后台访问 worker 脚本,将当前设备的 IP 传递给家里的防火墙,基本可以无感直接访问家里。其他有更高权限的系统,完全可以将设备的 IP 变动实时传递给家里
其中第二步也可以简化为只运行一个轮询脚本,通过 cron job 不断轮询 cf worker 获取最新的白名单 IP 。时效性比通过 cf tunnel 监听稍差。自己有 VPS 的话可以通过其他方式与 VPS 建立一个长连接传递白名单 IP ,增加时效性
 |
1
dilidilid 10 小时 34 分钟前
“把当前设备的 IP 传递给家里的防火墙即可”,那你直接挂个 tailscale 然后只允许 ts 的 IP 不就好了。。。
|
 |
2
cheese 10 小时 33 分钟前
直接 tailscale 这类 WireGuard 协议的零配置自动组网工具就好了,不是更安全方便。如果没有公网 ip 的,还省得自己去穿透了
|
 |
3
dddedd 10 小时 30 分钟前
好复杂,我直接开个 vless 回家,分流做好还不影响翻墙
|
 |
4
totoro625 10 小时 22 分钟前
设备上运行一个 ddns-go ,把当前设备公网出口 IP 记录到一个特殊的域名内
家里设备 crontab 每两小时刷新一次 ddns IP 我用的 UFW: /usr/bin/cat /data/ufw/web.txt | /usr/bin/xargs /usr/sbin/ufw delete allow from /usr/bin/dig 特殊的域名 +short > /data/ufw/web.txt /usr/bin/cat /data/ufw/web.txt | /usr/bin/xargs /usr/sbin/ufw allow from comment '临时 web' |
 |
5
codehz 10 小时 5 分钟前
你自己做验证不如直接用 zero trust 的策略
|
 |
6
ritziiiiii 9 小时 26 分钟前
求大佬回复,我想问一下,需要 IPV6 公网穿进飞牛(光猫关了防火墙),我要怎么做基础的防御?
如果我的 NAS 不能从外面很好的高质量穿透,那这个 NAS 就不是我想要的功能了···。 |
 |
7
honmaple 9 小时 8 分钟前
我现在需要对外的服务都是 公网机器 -> nginx -> zerotier -> 内网 -> 具体的 docker 服务,即使某个服务出现问题,也只会影响这个 docker 服务,不会影响其它内网的服务,话说 docker 应该是很安全的吧
|
 |
8
LnTrx 8 小时 53 分钟前
如果 cf 的网卡了,而人又在外面,怎么救急
|
Select Language