受最近 nas 系统安全漏洞的影响,最近总是想起标题的这个问题。
我个人家里是有 nas 的(白群晖)。为了使用家里的 NAS ,我的方案经理了这几个阶段:
- 群晖自己的 quickconnect ,我个人体验上大部分时间都不能稳定用...
- 使用 frp/nps 等打洞软件,通过中继访问某些端口的服务:当时感觉稍微僵硬一些,必需每个服务针对地配置转发。
- 使用花生壳等商业软件(付费线路):体验下来,不是很稳定,总是时不时地没速度甚至访问不了。
- 短暂地尝试了下 ipv6 访问,但不总是有 ipv6 环境,没怎么深入体验。
- 家庭路由端口转发,直接访问对应的服务。(换了运营商,有公网 IP 了):体验挺好的,现在想想是有些不安全。以及担心被运营商检测到啥 http 服务被封掉。
- 混合使用 wireguard/tailscale ,组网访问。(搬家,用了没公网 ip 的运营上):没公网 ip 的时候 wireguard 不能 p2p ,以及偶尔要更换 udp 端口避免被运营商干扰。tailscale 原本体验不错,但最近一年不知道为啥 p2p 总是失败,速度不太理想(尝试过自建 derp 和付费 derp ,总是碰到零零散散的问题),以及无法和我手机上的翻墙代理共存。
- 家庭部署 ss-server ,翻回家使用各种服务。(又有公网 ip 了):现在用的方案,目前看没啥太大的问题。最近的新闻虽然与我不相关,但是让我稍微有些担心,给 ss-server 重新配了个强密码;
总之,上述是我自己,公网 ip ,运营商是否干扰和封禁,安全和便利性 等方面的一些尝试精力。第 7 种 ss-server 是我目前用的。
目前听说过,但我主观上认为没必要的防护手段有:
- 配置 fail2ban 封锁恶意 ip ;
- 配置 knockd 敲门,防止扫描;
- cloudflare 等提供的 zerotrust 之类的服务
不知道各位 v 友们是否有什么相关的心得体会,建议之类的?安全上还有没有沙坑。
 |
1
suitts 1 天前
我有公网 IP ,用 wireguard 很稳定。手机是 iPhone 的话,loon 和 surge 对 wireguard 支持都挺好的,安卓就不清楚了。
|
 |
2
Midnight 1 天前
我用 Tailscale 回家。目前我认为最好的方案,没有之一。
不需要开公网,安全性有保障。 |
 |
3
aminobody 1 天前
easytier, frp 混合使用。通过 frp 暴露到公网的 http 服务前面套个反代,额外配置 basic auth ; tcp 端口除了 22 不暴露公网,需要的话就 tcp over ssh(比如 rdp).
|
 |
4
amaranthf 1 天前
frp 是最稳的,服务配置成本基本上是一次性的还好
|
 |
6
xclimbing 1 天前
只要有固定的服务端口暴露在公网上,本质上就是不安全的。多增加一层认证,安全性提高 80%。
|
 |
7
Lentin 1 天前
代理回家其实就是零信任形式的一种,只是走的代理协议而已,安全性足够了
|
 |
8
tyhunter 1 天前
IPV6 DDNS + 高位端口转发到 SS ,跑了快三年,很稳
|
Select Language