请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
之前因为 ZeroTier 和 TailScale 都没法打洞成功,配置过 CF Tunnel 速度也很感人。因为手头有个 VPS ,日常延迟大概在 150-200ms 之间,所以考虑通过 VPS 部署 FRP 映射 Nas 的服务到公网
原本我准备采取 Gemini 推荐的方案:用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口
https://v2ex.com/t/1177457 但是上午看到这个帖子,有点吓到我了,因为准备的方案和这个帖子里的做法基本是一样的。是不是这样配置还是不太安全?
Nas 上部署了 bt webdav 图床 博客 plex 这些业务,这里的服务除了博客以外,访问都必须登录。如果通过 FRP 暴露到公网,会导致我的 Nas 数据有风险吗
 |
1
m3mcpy 12 小时 34 分钟前
推荐 Pangolin
|
 |
2
yikedianzi 12 小时 21 分钟前
不好,要花钱,不方便,看你这个 ping 值,我感觉还不如老老实实 CF Tunnel 要稳一点。
|
 |
3
ChicC 12 小时 18 分钟前 via iPhone
ipv6 直連
|
 |
4
yannxia 12 小时 12 分钟前
Web 服务有漏洞就会被利用,很正常, 我有公网 IP 跑了几年,没被攻击过,主要还是要记得升级。
|
 |
5
neetz OP @yikedianzi CF tunnel 太不稳了,经常 500ms 以上了
|
 |
6
SenLief 11 小时 57 分钟前 via iPhone
我是用 ipv6 ss 回家,不想让 nas 暴露在公网。
|
 |
7
psllll 11 小时 5 分钟前  1
试试 frp 的 xtcp
https://gofrp.org/zh-cn/docs/features/xtcp/ |
 |
8
ntedshen 11 小时 3 分钟前
日常延迟大概在 150-200ms 之间。。。
这种延迟 frp 中转怕是能给你干到响应 1s+。。。 |
 |
9
zyq2280539 10 小时 22 分钟前
还好吧,我自己的一些服务就是用腾讯云做中转的,而且全部都部署了 https ,每个业务一个子域名,还是挺方便的。就是延迟有点高,第一次白屏时间长点,打开以后浏览器有缓存了后面基本就是秒开了。
|
 |
10
AkinoKaedeChan 10 小时 21 分钟前 via iPhone
mTLS 认证,或者直接用 OSS (比如 Authentik )做反代。
TLS 不必说,主流的 OSS 代码也经过较为严格的审计。 不过既然可以接受 VPN ,用 TailScale 的 DERP 中转也没啥问题吧… |
 |
11
ETiV 10 小时 15 分钟前 via iPhone
|
 |
12
Jacksu 10 小时 3 分钟前
做好安全问题,一般没啥问题。
1 、防火墙层面仅允许中国 IP 访问(反正你在国内) 2 、nginx 配置一下仅允许指定 host 访问(杜绝 IP+端口访问,不随便公开访问的子域名就很安全了) 3 、映射的内网服务都要有鉴权,不要不设密码或者超简单。 |
|
13
AkinoKaedeChan 9 小时 57 分钟前
还有点,因为证书透明度机制,所以其实申请公共 CA 的 TLS 证书中的 Common Name 和 Subject Alternative Name 是完全公开的,实测会有扫描器来扫。
|
 |
14
holoto 9 小时 50 分钟前
nas 和服务器 用 ZeroTier 和 TailScale 组网链接,然后在服务器上 socat 转发 nas 端口到服务器本地 。其他设备直接组网 链接服务器转发的这个端口就行。服务器记得设置 ufw 防火墙 端口限制区域访问 这种最安全了
|
 |
15
PerFectTime 9 小时 27 分钟前
前端用公有云的 VPS, 通过 n2n 连接到家里, 所有的服务都通过 n2n 的内网地址在 VPS 上配置反向代理, 且所有非公开服务前端必须要套一个 oauth 认证, 如果确定有 api 需要公开, 再设置例外, 可以用 authcrunch+caddy+auth0
|
 |
16
syuraking 9 小时 13 分钟前
建议 tailscale ,可以直接不需要开任何其它端口
|
 |
17
SSang 9 小时 3 分钟前
你只要暴露公网,就不安全,真要黑你,防不住的。不是你用什么姿势的问题,是如果你的软件本身就有漏洞,那你怎么防搞他都有漏洞。
但是不要因噎废食,第一全网的扫描不会做很复杂的操作,又不是定向爆破,不要怕,第二,大部分出名的软件都经过市场检验的,而且大家都在用修复的也快,你看像 dify 这种,一爆出漏洞马上光速修复了。 你要做的是就是重要做好备份,敏感数据做好加密,就行了 |
|
18
SSang 9 小时 2 分钟前
还有 frp 真的水管太小了,有条件还是 ipv6 吧
|
|
19
SSang 9 小时前
你要更安全一点,那就是 VPN ,SS 代理,这种要转一层回去的
|
 |
20
PeterTerpe 8 小时 59 分钟前 via Android
考虑过 cloudflare 免费的 tunnel 吗?不用管证书还可以加 waf
|
|
21
PeterTerpe 8 小时 57 分钟前 via Android
@PeterTerpe #20 唯一的缺点是有文件大小上传限制,好像是 500mb 左右吧,也跟上传策略有关系,分块上传应该没有问题
|
|
22
PeterTerpe 8 小时 54 分钟前 via Android
不好意思没认真读题
|
 |
23
PrinceofInj 8 小时 50 分钟前
事实上,只要设置一个强密码,没有漏洞,普通人直接暴露公网没任何问题,毕竟就一个平常的常见服务登录网页,别人为什么要从千千万万个里面挑出你的来特意攻击?我的 NAS ,路由器( openwrt )还有各种服务,全都公网直接暴露,统统设置的强密码,后台时不时就能看到有人尝试登陆,尤其是 openwrt ,因为用的是 8443,经常见尝试登陆的日志刷屏,目前为止依然安全。大概接近十年了吧。
|
 |
24
MADBOB 8 小时 47 分钟前 via iPhone
我是群晖,5001 直接上公网,做好安全策略,多次失败直接禁 ip ,用了 7 、8 年啥事没有,成熟的 nas ,web 没有这么多漏洞的
|
 |
25
dobelee 8 小时 45 分钟前
mark 一下,我也在研究这个方案。不太想手机连内外 vpn 太麻烦。
|
 |
26
jinlong 8 小时 43 分钟前
我的办法是先部署雷池 WAF ,开启人机检测+访问密码。雷池再反向内网的相关服务,这样没访问密码,扫描器也没用,哪怕访问你域名也无法访问后段服务。
|
 |
27
01802 6 小时 46 分钟前 via Android
要是自己或几个熟人用,wireguard 回去就好。
|
 |
28
canteon 6 小时 41 分钟前
回源用腾讯云 edgeone ,国内备案的域名不限速
|
 |
29
Actrace 3 小时 46 分钟前
ts 打洞成功率应该不低,就算打洞失败也能用 derp 中继。唯一的问题是官方的 derp 服务器都在海外,速度感人。我目前的做法是去微林订阅国内的 derp 服务器,能有很好的改善。
至于 frp ,内部服务不推荐用 frp 暴露到公网,安全性是个大问题。 |
Select Language