这是一个创建于 138 天前的主题,其中的信息可能已经有所发展或是发生改变。
家里有一些服务,比如 Nas 和各种虚拟机,为了方便在外面使用,我在内网搭了一个 ss ,外网通过 ss 协议连接到该服务,再进行局域网的访问。这个方案有一个风险点是,如果 ss 的密码暴露了,那么拿到密码的人就也可以访问家里局域网了。目前这套方案运行了两年多时间,可能没有出什么问题,也可能出了问题我没有察觉到。虽然局域网内的各个服务都有密码,但还是感觉不太踏实。
想咨询一下 v 友们有没有什么安全策略,比如局域网的监控服务、或者其他更好的对外暴露内网服务的方案。
 |
1
duduke 138 天前 via iPhone  1
对外开放 vmess ,通过 vmess 回家,反正电脑手机都要开着科学
|
 |
2
yanyuechuixue 138 天前
用 tailscale 呀,其实现在由于有 ipv6 的原因,大部分设备都可以打洞直连。
|
 |
3
ysc3839 138 天前 via Android
换 WireGuard 等基于非对称密钥认证的协议
|
 |
4
deplivesb 138 天前
vpn 回家
|
 |
5
Jhma 138 天前
用 opnsense 防火墙简单配置一下 openvpn,能实现用户+密码+证书+APP 动态密码的高安全访问,其他 vpn 只要能拿到你的用户密码证书文件配置文件等就可以随意链接,是不安全的
|
 |
6
shangyu7 138 天前
ss 够安全了吧?密码关了用证书呗
|
 |
7
sadfQED2 138 天前 via Android
内网开 v2 ,使用梯子服务器做分流。连上梯子以后,内网,墙外,大陆都能流畅连接
|
 |
10
blankmiss 137 天前
tailscale 搭建私有 derp 服务器
|
 |
13
0o0O0o0O0o 137 天前 via iPhone
@Jhma #9 每次在 v 站看到一些诸如“我很多年都是这样那样配置没被黑过”的发言,我也想问他们你怎么知道自己没被黑,难道黑客只是进来格盘大声嚷嚷的
|
 |
14
janzwong 137 天前
sslvpn 应该是相对更加安全的方式,还有你内网 ss 的服务器的端口开放情况要把控好,不要开放无用端口出去了,最好能起个防火墙搞个定时清理黑名单 ip 的策略。
|
 |
15
monkey110 137 天前
目前个人在用的方案是华硕路由开 openvpn,防火墙放行指定端口,用群晖自家 ddns(可以 https 访问)反代群晖和内网部分服务,vpn 和 ddns 配合使用,强密码二部验证是基操。
另外使用何种组网软件能用最新版的就用最新版的,防止漏洞类。 我就是用的 nps 然后作者不更了,被从漏洞进来裸奔了两年之久,直到最近才发现。 详见 https://www.v2ex.com/t/939787 |
 |
16
wogjdjaj 137 天前 via Android
只要联网就没有安全可言
多备份 少开放太多服务和端口 |
 |
17
1521815837 137 天前
疑人不用用人不疑呗移动硬盘又不贵
|
 |
18
winson030 137 天前 via iPhone
推荐 Tailscale ,稳
|
 |
19
JayZXu 137 天前
tailscale, zerotier 。组虚拟局域网,不需要对外开端口也能用了
|
 |
20
a632079 137 天前
😨同楼上,为啥不用 VLAN 终端?比如 tailscale 、zerotier ?
如果担心中心节点的问题的话,可以直接用 tailscale 的非官方开源控制服务器 headscale 的。 |
 |
21
leaflxh 137 天前
自己写个 port knocker ,手动操作,ip to ip 防火墙放通
|
 |
22
tyhunter 137 天前
我是 IPV6 DDNS+端口转发+SS ,SS 用的大小写+字符,除非主动泄露
如果还想加强安全,可以考虑搭建一台跳板机转发 SS 请求? 设备-->跳板机转发-->本机端口转发(白名单只接受跳板机 IP)-->SS 端口 但这样速度就不如直接 DDNS 来的直接了 |
 |
23
yaott2020 137 天前 via Android
wireguard 回家,安全性速度兼有
|
 |
24
abcfreedom OP @duduke 话说开放 vmess 和开放 ss 安全性是不是一样呢
|
|
25
abcfreedom OP |
|
26
abcfreedom OP @janzwong 学到了,目前是只开放了 ss 的端口到公网,黑名单 ip 之前还没太搞过,我去查查,感谢大佬
|
|
28
abcfreedom OP @monkey110 感谢,我目前用的 ikuai 的系统做主路由,对外开放了 ss 的端口~ 之前在公有云服务上用一键脚本搭建服务,也碰到过被黑的情况,确实挺坑的,当时我的服务器被拿去恶意乱发邮件,以至于被云服务商强制关了😂
|
|
29
abcfreedom OP |
|
30
abcfreedom OP |
 |
31
FrankAdler 137 天前 via iPhone
定期更换密码 我觉得 ss 就足够了
|
 |
32
baobao1270 137 天前
SS 密码用 128 位随机字符串,怎么暴露?
除非主动泄露,比如不小心分享出去二维码。否则以现在的密码学设计,除非对方使用量子计算机,或者协议实现上有 0day ,否则不会有问题 当然也可以用 ZeroTrust 的思想,所有需要上公网的都直接上公网,强制 GitHub OAuth 登录+YubiKey 验证 |
 |
33
azure2023us559 137 天前
docker
|
|
34
azure2023us559 137 天前
ss 换 wireguard , listen on ipv6 443 udp
|
|
35
abcfreedom OP |
 |
36
hezhile 137 天前
zerotier +1
|
 |
37
superchijinpeng 137 天前
Tailscale ,也可以用 Cloudflare Tunnel
|
 |
40
troilus 136 天前
用 vmess ,配合规则
|
 |
41
hauzerlee 136 天前
不是非要立刻马上就访问到的话,还可以利用一些黑客也常用的手段。比如写段程序抓取你的微博之类的能公开发出的信息,抓到短时间内特定的暗号,才把家里的 ss 打开,用完关闭,其他时间都是关闭的。减少对公网暴露的时间。
技术细节方面的话,就是这个暗号也用动态的,两边同时生成,用于对比和校验。 |
Select Language