V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Lamlam147
V2EX  ›  问与答

关于外网访问 NAS 安全性问题

  •  
  •   Lamlam147 · 256 天前 · 1731 次点击
    这是一个创建于 256 天前的主题,其中的信息可能已经有所发展或是发生改变。

    家里的 NAS 通过 IPV6 公网绑定了域名,现实了外网访问。但是 NAS 上挂了一些 QB 之类的下载(没套 VPN ),容易被人获取到真实公网 IP ,很多服务都挂在 NAS 的 docker 上,感觉安全性是个很大的问题。 目前只了解到通过限制 IP ,或允许某个 IP 段来进行访问,其他的没有了解到太多。 求教有没有类似内网穿透的方式,组局域网实现私有访问。类似 zerotier 组网的方案,但用的是自己的网络不依赖第三方。

    22 条回复    2024-08-08 15:49:06 +08:00
    CivAx
        1
    CivAx  
       256 天前
    你的 NAS 没有前置路由器吗?只开放必要端口就好了吧
    Lamlam147
        2
    Lamlam147  
    OP
       256 天前
    @CivAx 有前置路由,目前只映射了几个服务在公网,还是有点慌
    Latin
        3
    Latin  
       256 天前
    nat 打洞+wireguard
    不过每次 ipv4 变动要改配置的连接信息
    imdong
        4
    imdong  
       256 天前 via iPhone   ❤️ 1
    不暴露服务,都通过 OpenVPN 或者 HTTP/Socket5 代理。
    zaq
        5
    zaq  
       256 天前 via Android
    两个 nas ,一个开服务,一个装重要资料
    renmu
        6
    renmu  
       256 天前 via Android
    套一层 cf ,或者用 n2n 什么组局域网
    Lamlam147
        7
    Lamlam147  
    OP
       256 天前
    @Latin 我用域名加 ddns 加 ss 这个方案可行吗
    Lamlam147
        8
    Lamlam147  
    OP
       256 天前
    @renmu 套 cf 的主要作用是什么,大佬
    lanif
        9
    lanif  
       256 天前
    frp 到 vps
    vps 上 nginx 到 frp
    最后套上 CF
    ntedshen
        11
    ntedshen  
       255 天前
    纯自用不要上 cf ,证书全部自签就完了。。。
    公共证书会公开域名记录。。。
    heliushao88
        12
    heliushao88  
       255 天前 via Android
    @ntedshen 哥,cf 是什么技术?如何安装?
    imrei
        13
    imrei  
       255 天前
    我的方案是用 softether 给 nat 打洞开 l2tp 和 openvpn 连回本地访问 nas ,如果直接访问,可以考虑楼上说的 cloudflare ,需要自己域名设置。nas 系统或多或少都有点莫名其妙的漏洞,直接外网太吓人了
    ntedshen
        14
    ntedshen  
       255 天前
    @heliushao88 啊?都挂上域名了难道不是指的 cloudflare 的 tunnels ? zerotrust 里照文档搞就完了。。。
    要搭 routes 那随便。。。
    securityCoding
        15
    securityCoding  
       255 天前
    docker 起个 cf tunnel agent 自己映射 service
    jonsmith
        16
    jonsmith  
       255 天前 via Android
    我是直接 DDNS ,绕来绕去速度就慢了。
    imPrk
        17
    imPrk  
       255 天前
    看到你这篇帖子我想到了 OpenGFW 还是很有用的
    coffeesun
        18
    coffeesun  
       255 天前 via Android
    我 zerotier 连,否则群晖官方 quickconnect 地址连
    lin41411
        19
    lin41411  
       255 天前
    我自己的

    DSM:反向代理暴露到公网,独立的二级域名(通过 IP+端口是不能访问的,因为没暴露端口出去),关闭 Admin ,仅开主账号 DSM 权限,其它家庭账号关闭 DSM 权限,开两步验证,开自动封锁,群晖内定期导入黑名单 IP 。

    Webdav:因为没办法通过两步验证保护,这个服务权限太高,能随意浏览我群晖内的数据,因此我没有暴露到公网,外面套一层 VPN ( Wireguard )使用。

    Aira2:
    -- WebUI:反向代理暴露到公网,独立的二级域名,无法通过 IP+端口访问,WebUI 添加了 Basic 认证,没认证打不开 WebUI ,也不知道这背后是什么服务。

    -- RPC:反向代理暴露到公网,独立的二级域名,无法通过 IP+端口访问,独立的 RPC 密码

    qbittorrent / Transmission:WebUI 反向代理暴露到公网,独立的二级域名,无法通过 IP+端口访问,WebUI 添加了 Basic 认证,另外 qb 还有一层独立的登录账号密码;

    matrix_synapse:
    反向代理暴露到公网,独立的二级域名。知道这玩意的人不多,WebUI 关了,需要特有的客户端才能接入服务,而且我关闭注册,基本上属于完全私有的聊天工具;

    Bitwarden:
    类似上面 synapse ,反向代理暴露到公网,独立的二级域名。WebUI 关了,只能通过客户端接入私有服务。
    iceloon
        20
    iceloon  
       119 天前
    @lin41411 请问 qB 怎么限制无法通过 IP+端口访问 我把路由器端口转发都关了 还是可以访问。
    lin41411
        21
    lin41411  
       114 天前
    @iceloon 没留意未读提醒,抱歉。关掉路由上的 UPnP / NAT-PMP 试试。
    iceloon
        22
    iceloon  
       114 天前
    @lin41411 我在 NAS 的防火墙那,把所有端口都关了,只保留反代那个。这样所有服务都只能通过反代的 https 访问了,目前看没啥问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2668 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:01 · PVG 20:01 · LAX 04:01 · JFK 07:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.