关于外网访问 NAS 安全性问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 375 天前的主题，其中的信息可能已经有所发展或是发生改变。

家里的 NAS 通过 IPV6 公网绑定了域名，现实了外网访问。但是 NAS 上挂了一些 QB 之类的下载（没套 VPN ），容易被人获取到真实公网 IP ，很多服务都挂在 NAS 的 docker 上，感觉安全性是个很大的问题。目前只了解到通过限制 IP ，或允许某个 IP 段来进行访问，其他的没有了解到太多。求教有没有类似内网穿透的方式，组局域网实现私有访问。类似 zerotier 组网的方案，但用的是自己的网络不依赖第三方。

NAS

安全性

22 条回复 • 2024-08-08 15:49:06 +08:00

CivAx

2024-03-19 17:35:01 +08:00

你的 NAS 没有前置路由器吗？只开放必要端口就好了吧

Lamlam147

2024-03-19 17:42:39 +08:00

@CivAx 有前置路由，目前只映射了几个服务在公网，还是有点慌

Latin

2024-03-19 18:12:31 +08:00

nat 打洞+wireguard
不过每次 ipv4 变动要改配置的连接信息

imdong

2024-03-19 18:15:20 +08:00 via iPhone

不暴露服务，都通过 OpenVPN 或者 HTTP/Socket5 代理。

zaq

2024-03-19 18:32:42 +08:00 via Android

两个 nas ，一个开服务，一个装重要资料

renmu

2024-03-19 18:36:00 +08:00 via Android

套一层 cf ，或者用 n2n 什么组局域网

Lamlam147

2024-03-19 19:45:13 +08:00

@Latin 我用域名加 ddns 加 ss 这个方案可行吗

Lamlam147

2024-03-19 19:45:49 +08:00

@renmu 套 cf 的主要作用是什么，大佬

lanif

2024-03-19 19:57:43 +08:00

frp 到 vps
vps 上 nginx 到 frp
最后套上 CF

xdeng

2024-03-19 20:11:05 +08:00

https://github.com/TimothyYe/knock/blob/master/README_CN.md

ntedshen

2024-03-19 20:23:17 +08:00

纯自用不要上 cf ，证书全部自签就完了。。。
公共证书会公开域名记录。。。

heliushao88

2024-03-19 20:26:33 +08:00 via Android

@ntedshen 哥，cf 是什么技术？如何安装？

imrei

2024-03-19 20:31:19 +08:00

我的方案是用 softether 给 nat 打洞开 l2tp 和 openvpn 连回本地访问 nas ，如果直接访问，可以考虑楼上说的 cloudflare ，需要自己域名设置。nas 系统或多或少都有点莫名其妙的漏洞，直接外网太吓人了

ntedshen

2024-03-19 20:32:41 +08:00

@heliushao88 啊？都挂上域名了难道不是指的 cloudflare 的 tunnels ？ zerotrust 里照文档搞就完了。。。
要搭 routes 那随便。。。

securityCoding

2024-03-19 20:34:18 +08:00

docker 起个 cf tunnel agent 自己映射 service

jonsmith

2024-03-19 20:44:24 +08:00 via Android

我是直接 DDNS ，绕来绕去速度就慢了。

imPrk

2024-03-19 21:32:17 +08:00

看到你这篇帖子我想到了 OpenGFW 还是很有用的

coffeesun

2024-03-19 22:29:47 +08:00 via Android

我 zerotier 连，否则群晖官方 quickconnect 地址连

lin41411

2024-03-20 10:08:47 +08:00

我自己的

DSM：反向代理暴露到公网，独立的二级域名（通过 IP+端口是不能访问的，因为没暴露端口出去），关闭 Admin ，仅开主账号 DSM 权限，其它家庭账号关闭 DSM 权限，开两步验证，开自动封锁，群晖内定期导入黑名单 IP 。

Webdav：因为没办法通过两步验证保护，这个服务权限太高，能随意浏览我群晖内的数据，因此我没有暴露到公网，外面套一层 VPN （ Wireguard ）使用。

Aira2：
-- WebUI：反向代理暴露到公网，独立的二级域名，无法通过 IP+端口访问，WebUI 添加了 Basic 认证，没认证打不开 WebUI ，也不知道这背后是什么服务。

-- RPC：反向代理暴露到公网，独立的二级域名，无法通过 IP+端口访问，独立的 RPC 密码

qbittorrent / Transmission：WebUI 反向代理暴露到公网，独立的二级域名，无法通过 IP+端口访问，WebUI 添加了 Basic 认证，另外 qb 还有一层独立的登录账号密码；

matrix_synapse：
反向代理暴露到公网，独立的二级域名。知道这玩意的人不多，WebUI 关了，需要特有的客户端才能接入服务，而且我关闭注册，基本上属于完全私有的聊天工具；

Bitwarden：
类似上面 synapse ，反向代理暴露到公网，独立的二级域名。WebUI 关了，只能通过客户端接入私有服务。

iceloon

238 天前

@lin41411 请问 qB 怎么限制无法通过 IP+端口访问我把路由器端口转发都关了还是可以访问。

lin41411

233 天前

@iceloon 没留意未读提醒，抱歉。关掉路由上的 UPnP / NAT-PMP 试试。

iceloon

233 天前

@lin41411 我在 NAS 的防火墙那，把所有端口都关了，只保留反代那个。这样所有服务都只能通过反代的 https 访问了，目前看没啥问题。