V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
caicaiwoshishui
V2EX  ›  问与答

调查贴:你们的 nas 是局域网访问还是公网访问呀?

  •  
  •   caicaiwoshishui · 2022-10-30 12:50:39 +08:00 · 2616 次点击
    这是一个创建于 755 天前的主题,其中的信息可能已经有所发展或是发生改变。

    家里有公网 ip ,目前挂了玩客云这类东西,但是 nas 一直是局域网访问,想问下如果用公网访问需要注意什么?

    怎样才能证明他的系统公网访问是安全?比如用某些漏洞网站去扫描,没问题就可以公网?

    20 条回复    2022-10-31 19:03:17 +08:00
    ltkun
        1
    ltkun  
       2022-10-30 13:01:00 +08:00 via Android   ❤️ 1
    VPN
    dcsuibian
        2
    dcsuibian  
       2022-10-30 13:05:55 +08:00
    我是群辉,开启了管理控制台和 webdav 公网访问,DDNS 。不过更换了端口+使用高强度密码。

    感觉 mac 上 webdav 不怎么样,所以现在更多是 wireguard 后用 smb 连接访问。(不过不能用 mDNS 了,只能直接用 ip )
    documentzhangx66
        3
    documentzhangx66  
       2022-10-30 13:08:44 +08:00   ❤️ 3
    1.内网直接访问。

    2.公网也允许访问,VPN Server 建在公有云,NAS 通过 VPN 主动连接公有云的 VPN Server 。

    3.VPN Server 的对公网端口设置为特殊高位端口号,加 fail2ban 。

    4.VPN Server 关闭 ICMP ,不允许 ping 。但使用特殊高位高端,改为 tcpping 。并且 ping 方要发送特定字符,Server 端才会回应。

    5.公有云的 VPN Server 常用端口设置蜜罐。

    这种做法,对于个人与小型企业,都已经是万无一失了。

    普通黑客的广撒网式的攻击思路,会先进行常用端口扫描,这一步就被蜜罐给拉黑了,更别提后续。
    documentzhangx66
        4
    documentzhangx66  
       2022-10-30 13:09:54 +08:00
    改下错别字:

    4.VPN Server 关闭 ICMP ,不允许 ping 。但使用特殊高位端口,改为 TCP-Ping 。并且 ping 方要发送特定字符,Server 端才会回应。
    monzuguan
        5
    monzuguan  
       2022-10-30 13:10:26 +08:00 via Android
    owncloud 的 HTTPS 和 webdav 都开放到公网,保持高频更新,包括系统和应用。
    bankroft
        6
    bankroft  
       2022-10-30 13:11:50 +08:00
    内网穿透,关闭服务器端口,用的时候再开
    statement
        7
    statement  
       2022-10-30 14:10:33 +08:00 via iPhone
    公网直接访问
    yjim
        8
    yjim  
       2022-10-30 17:04:39 +08:00
    局域网+VPN

    非必要不建议暴露在公网
    XiLingHost
        9
    XiLingHost  
       2022-10-30 17:37:19 +08:00
    公网暴露 wg ,然后远程拨回家访问
    Autonomous
        10
    Autonomous  
       2022-10-30 20:21:55 +08:00
    公网 DDNS 直接暴露端口
    91pornshanghai
        11
    91pornshanghai  
       2022-10-30 20:30:11 +08:00
    局域网,懒得配置安全问题,所以我买了个海康的小 nas ,把我的文档之类的文件双向同步到海康上面,在外面就直接用海康的 app
    wanguorui123
        12
    wanguorui123  
       2022-10-30 21:05:44 +08:00
    公网直连
    FDKevin
        13
    FDKevin  
       2022-10-30 21:11:20 +08:00 via iPhone
    局域网,在外 wg 组网(innernet)
    totoro625
        14
    totoro625  
       2022-10-30 21:49:48 +08:00   ❤️ 1
    总有些漏洞是未公开的,暴露到公网的越多越不安全
    甚至某天你误开的服务就能被黑,继而破坏整个系统

    clash 分流,在外面时内网域名走 vpn 回家,在家时不走 vpn 直连

    或者 zerotier/tailscale/wg 组网
    yghack
        15
    yghack  
       2022-10-30 22:04:17 +08:00
    vpn + 1
    hanguofu
        16
    hanguofu  
       2022-10-31 06:44:54 +08:00
    @documentzhangx66 : 请问给 公有云的 VPN Server 常用端口设置蜜罐 有什么常用的脚本或者工具啊 ?
    jakehu
        17
    jakehu  
       2022-10-31 09:21:27 +08:00
    公网 IP + DDNS + 端口转发
    luomao
        18
    luomao  
       2022-10-31 10:47:21 +08:00
    公网 IP ,软路由 DDNS ,端口号全用的 30000+以上。目前对外暴漏群晖、openwrt 、博客、plex 、homeassistant 等服务。
    目前看群晖上 IP 黑名单能有 2000+的数据,多是欧洲美国的 IP ,目前还没有什么被侵入的迹象
    virualv
        19
    virualv  
       2022-10-31 10:52:34 +08:00 via iPhone
    我用的群晖。改了端口,指定高风险国家或地区的 ip 禁止访问,设置密码错误到达指定次数永封 ip ,所有开启外网访问服务 ssl 加密。之前会收到境外 ip 被封禁的邮件,现在已经很久没收到了
    documentzhangx66
        20
    documentzhangx66  
       2022-10-31 19:03:17 +08:00
    @hanguofu

    用 nginx 把常用 21 、22 、80 、81 、139 、443 、8080 、8006 等端口,全部监听。

    然后写个小程序监控 access.log 和 error.log ,来一个 IP ,封一个 IP 就行。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1075 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:16 · PVG 03:16 · LAX 11:16 · JFK 14:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.