V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
Yuhyeong
V2EX  ›  NAS

关于家庭 NAS 配置 DDNS 的一些安全问题

  •  
  •   Yuhyeong · 2023-09-27 16:10:35 +08:00 · 2417 次点击
    这是一个创建于 423 天前的主题,其中的信息可能已经有所发展或是发生改变。

    由于专业方向差的有点太远,实在是有些问题查不到解决办法,求求家人们了😭

    背景

    最近入手了一台白群晖,但是家里没有固定的公网 IP 。

    主要需求是在外地看 NAS 上存储的电影视频,本人有一些存储电影电视资源的爱好,同时也对数据隐私也有比较一些要求,所以不考虑国内网盘。最近准备配一台 Linux 在家当服务器用,后续也会有外部访问的需求。

    两种方法和顾虑

    本来考虑搞内网穿透,走 aws 的轻量级服务器,但是服务器的流量太贵了。我买的 lightsail 上下行可用流量一共 1TB ,放不开手脚用。(在这里其实我有知识盲区,通过 frp 内网穿透到公网的服务器上后,我从外地访问我的 NAS ,服务器是不是要上行下行各走一次?一次上传,一次转发?相当于流量计算两次;还是说服务器只代理请求,不代理中间的数据传输流量?)

    于是考虑走 DDNS 。在这之前我先看了下相关的帖子,没想到有一些 op 有配置 DDNS+WEB 访问后被查水表的情况。 我寻思 DDNS 不就是 IP 放 DNS 服务商那里?流量也不经过服务商呀,难道是他们用的 DNSPOD 进行解析造成的?

    手里的资源

    我现在手里有一台 aws 日本 ip 的服务器(上述),四个海外域名服务商的域名(没有备案,国外买的域名没有备案的需要吧?)。

    我家情况是用光猫拨号,平常主要用主路由,偶尔科学上网用的软路由接在主路由上。这样的话 DDNS 从哪个机器连接好?按我的理解的话好像从哪里连接都行,应为只是解析公网 IP 。自己准备的方案是写个 cloudflare 提供的额 DDNS 的 API 脚本来解析。

    感恩各位哥哥姐姐的帮助!!

    15 条回复    2024-10-21 12:41:54 +08:00
    totoro625
        1
    totoro625  
       2023-09-27 16:15:08 +08:00   ❤️ 1
    1.流量计双倍
    2.ddns 加大了被扫描到的概率,特别是他们都是用的 1w 以内的端口,搭配 IPv4 很容易被扫描到
    个人宽带不能用于建站
    3.IPv4 的 ip ,ddns 哪里都行
    4.cloudflare 可以设置走高位端口回源,然后家里屏蔽除 cloudflare 以外的 ip 访问
    totoro625
        2
    totoro625  
       2023-09-27 16:21:33 +08:00   ❤️ 1
    条件允许的话,在腾讯云备案一个专用的域名,用那个域名的四级域名 ddns 指向家里,裸域和 www 都指向腾讯云的 CDN
    屏蔽 1w 以内端口
    玄学上更稳定
    Yuhyeong
        3
    Yuhyeong  
    OP
       2023-09-27 16:40:27 +08:00
    @totoro625 谢谢!基本想通后续的处理方法了
    yinmin
        4
    yinmin  
       2023-09-27 16:42:49 +08:00   ❤️ 1
    1. 运营商是如何发现你做 ddns 的?
    运营商通常不是通过 dns 解析去获取家宽 ip 对应的域名,而是通过 http 或者 https 协议流量获取对应域名的。

    2. 不跑 http/https ,是不是运营商无法发现 ddns ?
    基本是的。注意:有些协议例如 openvpn 底层是使用 https 协议的,要避开这些使用 https/tls 的协议。

    3. 如果是备案域名,能不能在家宽上跑 http/https ?
    基本能的。运营商通常针对未备案域名或者流量特别大的情况。不过,各地差别比较大。

    另外,做 ddns 的前提是你的家宽有公网 IP ,并且能桥接网络或者能做端口映射。
    linuxgo
        5
    linuxgo  
       2023-09-27 17:52:28 +08:00   ❤️ 1
    国内的域名,vps 这些还是不要用了,随时都在监控下,内网穿透还是用国外 vps 省心,虽然延迟高点,但是不会担心有人敲门
    Yuhyeong
        6
    Yuhyeong  
    OP
       2023-09-27 17:55:51 +08:00
    @linuxgo 我现在服务器买的 aws 的日本节点,域名从 porkbun 买的,没经过国内的网站,这方面有什么其他问题要注意的吗
    linuxgo
        7
    linuxgo  
       2023-09-27 18:13:55 +08:00   ❤️ 1
    @Yuhyeong #6 我反正用 racknerd 的几年了,没遇到任何问题,唯一就是某些流量太大了可能 ip 会被 ban😁
    ldcr99
        8
    ldcr99  
       2023-09-27 18:14:19 +08:00   ❤️ 1
    Cloudflare Tunnel \ WireGuard\ netbird \ remote-bind \ Tailscale 都可以用

    你的安全担忧并不在于你的文件的安全性,而是在于使用信道的合法性担忧。用国外的服务吧,包括 VPS 也是。

    虽然,流量分析还是可以得到你在 proxy 的,没有绝对的安全。而且,仅仅是工具的安全而已,并不是文件的安全担忧。问题不大。
    ashong
        9
    ashong  
       2023-09-27 18:31:15 +08:00 via iPhone   ❤️ 1
    如果自己用,建议通过 vpn 连回家里
    Yuhyeong
        10
    Yuhyeong  
    OP
       2023-09-27 18:44:05 +08:00
    @ldcr99 感谢!这个确实是我更担忧的事情
    guochao
        11
    guochao  
       2023-09-28 10:57:13 +08:00   ❤️ 1
    不要暴露自己的服务在公网上。

    - 建议找个技术向的朋友,或者你自己懂一些 IT 的话,在国内租个最便宜的主机、并且做好安全措施。然后用 headscale ,或者 zerotier-one + 自建的一个发现服务(我不记得是叫 moon 还是什么了)。用这些公网发现、建立点对点的方案。

    - 其他的 vpn 服务来建虚拟网络也可以,比如说 cloudflare 这类,但是我自己没有用过,所以我不做评价。
    - 直接用 wireguard 也是一个选择,但是自己用服务器中转速度会受限于你的服务器的速度,并且流量可能会计费
    - tailscale 、zerotier (公共的发现服务)这类国外的服务,有的时候发现的不是最短的路径,可能会绕很远的一圈。headscale 是 tailscale 的自建服务器,我自己测试是 ok 的,zerotier-one 的 moon 也是类似的东西,我没有正儿八经的配置过。
    EchoGroot
        12
    EchoGroot  
       2023-09-28 11:37:04 +08:00   ❤️ 1
    还是说服务器只代理请求,不代理中间的数据传输流量?

    之前研究过 frp ,建立连接后,所有流量都走这个连接(内部创建两个协程,进行 io copy ,处理两个方向的流量),所以中间的数据传输流量也是走 frp 服务端,并不是达到端对端直连的效果,联想私有云有几率能做到直连。
    journalist
        13
    journalist  
       2023-10-09 07:32:05 +08:00 via iPhone
    我公网开了一个 openwrt 管理页面,用的 4 位端口好几年了也没啥问题,估计流量大才会管
    evangao
        14
    evangao  
       2023-11-09 16:02:28 +08:00
    nas 装个 emby 开心版,或者 plex 买 pass ,多屏远程随时看,进度各个终端随时同步。不需要考虑 DDNS 的时期。再说我的 synology.me 的 ddns 十多年了,一直没事。
    WhoAmIPeople
        15
    WhoAmIPeople  
       33 天前 via Android
    直接用 NAS 提供的子域名和 DDNS 解析服务,跟自己买的域名然后解析,会不会区别对待?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2672 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:47 · PVG 19:47 · LAX 03:47 · JFK 06:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.