这是一个创建于 2307 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近管电信要了公网 IP,把家里的群晖暴露在公网上了,然后收到一些触发登录封锁的通知,
因为也想在公网有相对完整的体验,把所有端口都转发出去了,
目前设置了登录封锁 和 防火墙,用户密码也相对复杂,想问问还有没有其他手段能有效阻止攻击什么的?
第 1 条附言 · 2019 年 9 月 20 日
所有端口的意思是所有需要用到的端口😂有歧义了
 |
1
trepwq 2019 年 9 月 20 日 via iPhone
不用标准端口可以减少很多麻烦
|
 |
2
cwbsw 2019 年 9 月 20 日
在外面用 VPN 连回来,除此之外的端口都关了。
|
 |
3
0DBBFF 2019 年 9 月 20 日  1
"因为也想在公网有相对完整的体验,把所有端口都转发出去了" 你也是心大
|
 |
4
wogong 2019 年 9 月 20 日 1
幸福的烦恼,没有公网只能用 tinc/wireguard 之类的就不用担心这个。感觉这个就像公网 VPS 各种被扫一样,开了密钥登录 /非默认端口 /fail2ban 之类剩下的就只能忽视日志中的登录尝试了。
|
 |
5
Lightninc 2019 年 9 月 20 日
现在公司也有一台群辉,能教教咋使用吗?主要使用备份功能呢。。。
|
 |
6
fkmc 2019 年 9 月 20 日
牛逼 我只开放 ssh nextcloud 以及 httpproxy openvpn 端口
上班笔记本都是 openvpn 连回家里 上内网 |
 |
7
MonoLogueChi 2019 年 9 月 20 日 via Android
三个端口就够用了
|
 |
8
wazon 2019 年 9 月 20 日
改掉 SSH、FTP 等的常用端口即可
|
 |
9
cyang 2019 年 9 月 20 日
你远程连群晖是通过 SSH 的?不是通过 https 设置个非常用端口?
|
 |
10
opengps 2019 年 9 月 20 日 via Android
所有端口??别闹,生产服务器都是只开放用到的端口!!!
|
 |
11
swieer 2019 年 9 月 20 日
不要用 admin 账号
|
 |
12
pC0oc4EbCSsJUy4W 2019 年 9 月 20 日 1
两步验证
|
 |
13
her100 2019 年 9 月 20 日
我想知道怎么获得公网 IP
|
 |
14
carrionlee 2019 年 9 月 20 日 via Android
开个反代服务器
|
 |
15
Crusader 2019 年 9 月 20 日
把所有端口都转发了。。。
|
 |
16
Mac 2019 年 9 月 20 日
改默认端口可以避免 99%的攻击
|
 |
18
oul 2019 年 9 月 20 日 1
群晖的话设置二次验证,停用 admin 账户,改常用端口号。
|
 |
19
Untu 2019 年 9 月 20 日 via Android 1
禁止 root 账号登录,使用 sudo,修改常用服务嗯端口,尤其是 ssh 不然会天天被爆破
|
 |
20
jzphx 2019 年 9 月 20 日
群晖只暴露 http 端口,开启 fail2ban 安全性还是可以的
|
 |
21
dier 2019 年 9 月 20 日
SSH 禁用密码登录,改端口号。
必须要密码登录的密码强度一定要高,只要记得住,越复杂越长越好 |
 |
22
sadfQED2 2019 年 9 月 20 日
只暴露必要端口,其他需求通过 vpn 连回去,你根本不知道你哪个端口哪个服务上面可能有漏洞,这你就直接全暴露了?
|
 |
23
dingdangnao OP @dier 没找到群晖怎么禁用 ssh 密码,我开了 sftp 好像必须要开 ssh ?密码应该算复杂了。吧。
|
 |
24
shinciao 2019 年 9 月 20 日
群晖别用默认的 5000 5001 端口
|
 |
25
xxq2112 2019 年 9 月 20 日 via iPhone
首先不回应 Ping,然后避开默认端口
|
 |
26
geekvcn 2019 年 9 月 20 日
因为也想在公网有相对完整的体验,把所有端口都转发出去了,你这习惯神仙都救不了,人家想尽办法关闭非需要端口,各种改常规端口号,禁 Ping,你倒好反着来,什么习惯啊,为什么要转发所有端口才叫完整公网体验,谁教你的?
|
 |
27
darksword21 PRO 所有端口。。
|
 |
28
roryzh 2019 年 9 月 20 日
shodan
|
 |
29
flyfishcn 2019 年 9 月 20 日 1
SSH 用证书密钥登录,关闭密码登录或者设置非常复杂几乎不可能破解的密码,再配合失败封禁。就可以放心对公网开放,一般除非有溢出提权漏洞,不然基本很安全。
|
 |
30
liuqi0270 2019 年 9 月 20 日
nat 设置 out interface ! Lan。可以获取访问真实 IP 而非你的网关。然后按策略 ban 攻击 IP。不过遮掩设置内网不能访问你的公网地址。
|
 |
31
alphatoad 2019 年 9 月 20 日 via iPad
我的做法是用跳板机直接获取公网 IP,fail2ban 自动封 IP,ssh 禁密码,http 用 nginx 反代到 real server
|
|
32
alphatoad 2019 年 9 月 20 日 via iPad
唯一的问题是,synology 的自动封 IP 功能似乎会无视 X-Forward header 而只认源 IP
|
 |
35
Phasma 2019 年 9 月 22 日
|
 |
37
Chingim 2019 年 9 月 22 日 via Android
上 https 没?不然密码再复杂也没鬼用。
我也暴露在公网了,不过只对公网开放 443 端口。ssh 权限太大,而且日常使用也不需要,只能在内网访问。 路由器也开了 443 |
 |
38
JoeoooLAI 2019 年 9 月 25 日
quick connect 可能是最安全最不折腾的了
|
 |
39
Ruslan 2019 年 9 月 25 日
我是 SSH 端口不暴露给公网,然后管理员账户开了两步验证。
|
 |
40
siparadise 2019 年 9 月 30 日
不是类似 443 转 6549 之类的,还是你直接原端口转出去了
|
Select Language