这是一个创建于 412 天前的主题,其中的信息可能已经有所发展或是发生改变。
有一些服务需要在外面访问,目前有两个方案
1 , 走 tailscale 等虚拟局域网模式访问,安全性肯定是 OK 的,缺点是频繁要连 tailscale 客户端,手里来来回切换很烦。
2 , 直接路由器暴露端口来访问,但是不知道安全性如何,会不会被黑客扫描入侵,一个 0day 就完全爆破了。
目前 emby ,群晖 music 等服务需要直接外面访问。
1 , 走 tailscale 等虚拟局域网模式访问,安全性肯定是 OK 的,缺点是频繁要连 tailscale 客户端,手里来来回切换很烦。
2 , 直接路由器暴露端口来访问,但是不知道安全性如何,会不会被黑客扫描入侵,一个 0day 就完全爆破了。
目前 emby ,群晖 music 等服务需要直接外面访问。
 |
1
YummyChip 2023-09-22 15:07:23 +08:00
|
 |
2
bjzhou1990 2023-09-22 15:10:23 +08:00
我这非公网 IP ,开 NAT1 以后 ROS 后台一直有提示 ssh 端口和 telnet 端口再被尝试登录
|
 |
3
xinmans OP @bjzhou1990 所以觉得不太安全,我目前还是走 tailscale ,除非 qB 那种必须开放的
|
|
4
bjzhou1990 2023-09-22 16:54:54 +08:00
@xinmans 防火墙只允许指定 IP 访问
|
 |
5
yukinomiu 2023-09-22 16:59:30 +08:00
@xinmans 家里路由器开 vpn, 比如 wireguard, 然后不在家时, 先 wg 回家, 再连接 nas. 这个流程应该和 tailscale 类似.
安全性 >> 便利性. 如果哪天 nas 因为端口映射直接被爆破了, 丢失数据的代价肯定比多开一个客户端大的多. |
 |
6
jian0jian 2023-09-22 17:14:57 +08:00
反代+双重验证,反正安全。 所有服务跑在一个端口上
|
 |
7
goodryb 2023-09-22 17:29:26 +08:00
我是直接端口映射出去的, 其他方式太麻烦了
|
 |
8
bing1178 2023-09-22 17:34:55 +08:00
我的 alist 就是 公网 https 可以访问。 没事。安不安全 取决于你的技术
|
 |
9
byty18768 2023-09-22 17:44:35 +08:00 via iPhone
ss 回家,然后分流 192.168.0.0/24 分流给 ss😁
|
 |
10
superchijinpeng 2023-09-22 18:00:04 +08:00
分流一下就行了所有家里的设备都走 tailscale 网卡
|
 |
11
dhuzbb 2023-09-22 19:01:12 +08:00
家里有公网 IP 的话,只需要路由器暴露 wireguard 端口号即可。客户端链接 wireguard 之后,就可以和局域网一样访问家里设备。这样安全性最高。使用也比较方便。
|
 |
12
xixiv5 2023-09-22 20:29:33 +08:00
@bjzhou1990 没有公网别人是怎么连进来的哇?难道是 ipv6 进来的吗?
|
 |
13
bigshawn 2023-09-22 22:46:44 +08:00 via iPhone
一般用什么代理工具,支持哪些协议,nas 上搭一个吧。
|
 |
14
IV16SL 2023-09-22 22:54:58 +08:00  1
开了 5 年多了,没遇到安全问题,除非你有巨大的价值,否则 0day 漏洞应该轮不到你身上。
|
 |
15
cadmuxe 2023-09-23 01:00:49 +08:00
cloudflare tunnel 非常好用,但是他们的政策不让用于流媒体服务。
|
 |
16
xiamy1314 2023-09-23 08:47:33 +08:00
openwrt 公网直接端口转发 https 访问。。。没那没多花里胡哨
|
 |
18
dude4 2023-09-23 10:14:43 +08:00
安全和便利一直都是天秤的两端,只有取舍,没法两全其美。
我自己是分两种: 1. 大流量,譬如在外看 NAS 的视频,就直接暴露一个高位端口,搞免费 HTTPS 证书套上,用 webdav+复杂共享文件夹名,实测用 potplayer 之类可以跑满家宽上传带宽; 2.小文件共享,就用 wireguard 搭建局域网环境,然后直接用 samba 之类的传输了,兼容性最好。注意 WG 是 UDP ,所以会被很多 ISP 限流,所以只能传小文件。 |
 |
19
tonyaiken 2023-09-23 10:57:10 +08:00 via iPhone
Tailscale 可以 on demand ,不需要来回切换
|
 |
20
xpn282 2023-09-23 12:48:08 +08:00
OpenWrt 的代理工具可以可以开服务端的,ss 服务、v2ray 服务………相当于开了一个节点
然后开一个端口给这这个节点 外网用代理 app (比如小火箭之类的),添加家里的节点,然后做一条规则,把家里的网段代理到这个节点即可! 效果是回家、出国同时进行、且互不干扰。 |
 |
21
kiracyan 2023-09-23 14:57:40 +08:00
我现在是路由器端口映射,开防火墙,只映射部分非常用端口的服务,然后其他的统一走 VPN ,不公布的域名+DDNS+动态公网 IP ,暂时没遇到什么问题。
|
 |
22
glouhao 2023-09-23 19:40:40 +08:00
你别用默认端口
|
|
25
xinmans OP |
|
27
xpn282 2023-09-24 14:33:30 +08:00
|
|
29
dude4 2023-09-25 10:47:25 +08:00
@xinmans 如果你不在意 UDP 限流,wireguard 可以满足需要,设置一下可以只让局域网网段走 WG 网关,其余的走手机默认外网。
|
|
31
xinmans OP @xpn282 不想来回切换小火煎和 tailcale ,所以 exit node 模式能够满足我的诉求
|
Select Language