V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
lianyanjiajia
V2EX  ›  NAS

求教 nas 做反向代理如何做好网络防护

  •  
  •   lianyanjiajia · 2023-11-28 11:08:19 +08:00 · 3402 次点击
    这是一个创建于 365 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我现在是域名挂在 cloudflare 下,不需要速度的就用 cloudflare tunnel 了,但需要速度的服务就单纯 http 反代了,套 cf cdn 也太慢了,我需要内网也用域名访问,但是我最近换了宽带,v4 公网变成固定 ip 了,这下子一下就不放心了,一 ping 就出来了,这样也不敢告诉别人域名,想请教各位大佬,有什么保护真实 ip 的手段,
    32 条回复    2023-11-29 20:27:22 +08:00
    sky96111
        1
    sky96111  
       2023-11-28 11:11:04 +08:00
    最简单的方法套 VPN ,对外只暴露 VPN 服务的端口
    wyxls
        2
    wyxls  
       2023-11-28 11:17:57 +08:00
    要在公网上提供服务就避免不了 IP 暴露,互联网工作原理摆在那。要么做个反代跳板隐去真实服务 IP ,要么用 VPN 、wireguard 之类套一层加密回去访问
    libook
        3
    libook  
       2023-11-28 11:27:43 +08:00
    VPN/代理的老本行。

    如果你平时手机等其他设备出国,可以让家里当中转,路由配置一下家里的网段直接转发不走机场,这样你公网只需要开放一个代理端口就行了。
    4s4IYOLfT1s3InRR
        4
    4s4IYOLfT1s3InRR  
       2023-11-28 12:06:01 +08:00 via Android
    只放通 web 端口允许内网访问就行 pve 很好设置,v4 的话问题不大,路由器不放通就不通,主要是 v6
    lianyanjiajia
        5
    lianyanjiajia  
    OP
       2023-11-28 12:20:50 +08:00
    谢谢楼上各位,大佬,目前只开了 2 个反代用的端口,VPN 也搞了,但还是反代方便
    lianyanjiajia
        6
    lianyanjiajia  
    OP
       2023-11-28 13:02:41 +08:00
    担心安全的问题还有一个 就是如果想把 nas 上的文件分享给别人怎么办。直接告诉域名我现在是不敢的
    morgan1freeman
        7
    morgan1freeman  
       364 天前
    @lianyanjiajia #6 nas 同步到百度云分享吧,vpn 包打一切
    baobao1270
        8
    baobao1270  
       364 天前
    你可以自己用直连域名,告诉别人用 cf 的域名啊
    lianyanjiajia
        9
    lianyanjiajia  
    OP
       364 天前
    @baobao1270 也是一个办法,我忘了可以一个服务设多个地址了
    72MpQOSsJhyLs88N
        10
    72MpQOSsJhyLs88N  
       364 天前 via iPhone
    @lianyanjiajia 你身边都是黑客吗?为啥用域名分享文件都担心啊
    lianyanjiajia
        11
    lianyanjiajia  
    OP
       364 天前
    @morgan1freeman 百度云同步很费劲的,我折腾了几次以后都是客户端直接上传
    lianyanjiajia
        12
    lianyanjiajia  
    OP
       364 天前
    @xianghou http 域名分享公网 IP 就直接暴露了啊。没准就泄露了
    72MpQOSsJhyLs88N
        13
    72MpQOSsJhyLs88N  
       364 天前 via iPhone
    @lianyanjiajia 除非你是固定公网 IP 的。否则不重新拨号过几天也会被踢下线换一个 IP 啊。再说了,不暴漏也每天有无数的扫描器扫啊
    Peek
        14
    Peek  
       364 天前
    @xianghou 21 年,过年回老家把家里工控机转发了一个端口到域名上,方便远程链接,结果 12 小时不到就被勒索软件全盘加密,还好设备没有在内网继续扫描传播,不然我的 winserver 可能就完蛋了,主要是粗心开了无密码登陆,因为这台工控机一直都是内网远程用的,ipv4 有公网其实就是一直被扫的状态
    busier
        15
    busier  
       364 天前
    自相矛盾!不放心自己的技术能力就不要放到公网上!
    IV16SL
        16
    IV16SL  
       364 天前   ❤️ 1
    账户强密码,有 2 步验证的开启,其余的别太担心了,太担心不如直接关机。
    lianyanjiajia
        17
    lianyanjiajia  
    OP
       364 天前
    @xianghou 所以我一开始就说了我就是固定公网 IP 才会担心这个事情
    yinmin
        18
    yinmin  
       364 天前 via iPhone
    nginx 启用双向证书认证的 https 的反代,很安全。具体部署方式可以问 gpt 。
    72MpQOSsJhyLs88N
        19
    72MpQOSsJhyLs88N  
       364 天前 via iPhone
    @Peek 操作系统在支持期里,打上最新补丁,强密码,好几台设备 10 几年了从没中过招。0day 不值得用在你们身上
    32uKHwVJ179qCmPj
        20
    32uKHwVJ179qCmPj  
       364 天前
    终极方案就是 VPN ,别纠结也别折腾,答案只有一个:VPN ,嫌麻烦可以自动化
    srlp
        21
    srlp  
       364 天前
    tailscale or zerotier 吧,不要暴露公网了
    dreamflyman
        22
    dreamflyman  
       364 天前
    给你的 nas 开启防火墙白名单,只允许固定的(几个 ip 或者 ip 段)访问,这样就算你公网 ip 暴露也不怕!粗暴简单,不影响速度!
    serafin
        23
    serafin  
       364 天前
    LeeReamond
        24
    LeeReamond  
       364 天前
    暴露公网无路如何不太行,就算能挡住安全问题,就算每天被人扫带来的带宽占用感觉问题也很大。
    72MpQOSsJhyLs88N
        25
    72MpQOSsJhyLs88N  
       364 天前 via iPhone
    @lianyanjiajia 你想要的答案,NAS 厂商的指导手册里都有。你要是信不过厂商也信不过自己的技术,要么用网盘分享要么不要固定 IP 。其他都解决不了你现在的担忧
    glouhao
        26
    glouhao  
       364 天前
    没事的,别用默认端口,开启多次尝试封 IP ,SSH 别乱开。
    lovelylain
        27
    lovelylain  
       364 天前 via Android   ❤️ 1
    @lianyanjiajia 访问端只有固定的几个就弄 vpn ,不想对访问端做限制就提高密码强度,按需开放端口,不用了就关闭;也可以把两者结合起来,平时自己用走 VPN ,想给他人用就临时开放端口。
    DoubleKing
        28
    DoubleKing  
       364 天前
    nginx + https
    jowan
        29
    jowan  
       364 天前
    IP 发出来我帮你诊断一下
    lianyanjiajia
        30
    lianyanjiajia  
    OP
       364 天前
    @dreamflyman 这样流量没法用了
    ButcherHu
        31
    ButcherHu  
       363 天前
    不放在根目录下就行吧,域名路径不对的返回 444 ,然后定时 review 一下可疑 ip 段就行吧,不行再按照不同的服务限制一下访问的方法,感觉就比较靠谱了。
    也可以先把阿里云之类的服务商 ban 了,要不然 log 太多哈哈
    MoonLin
        32
    MoonLin  
       363 天前   ❤️ 1
    分享给别人的链接用一个专用端口,链接套 cf 或者其他 cdn ,nginx 这个端口只允许 cdn 的回源 ip 访问。其他访问通过 vpn 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5998 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 178ms · UTC 06:13 · PVG 14:13 · LAX 22:13 · JFK 01:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.