这是一个创建于 454 天前的主题,其中的信息可能已经有所发展或是发生改变。
一直听说公网 IP 很香,我这八线小城市以前一直以为没希望申请下来的,没想到打电话给联通一个小时就给开通了,再联系宽带运维师傅光猫改桥接,一天的时间竟然就成了“公网用户”。 而且,我也有个域名,域名服务商是腾讯云,现在托管给了 cf 。 必须得搞点事情,现在最担心的是安全问题,因为之前内网穿透都是无脑的比如 tailscale 、cpolar 这些,有了公网后,大家的方案大概是
-
openvpn 、wg 这些 vpn 服务,和现在使用 tailscale 的方式差不多,好处是可以异地组网,内网 IP 访问,无痕回家,坏处是必须得开着 vpn 软件,虽然现在也一直开着
-
粗暴的路由器端口映射方式直接回家,感觉这个太危险了
-
nginx+ddnsgo+域名 方式,只在路由器对外转发 nginx 的 443 (换成高位) 端口,这个是我现在觉得比较优雅而且安全的方式。
请大家帮我斟酌一下。
还有一个非常不入流的小白问题,有公网 ip 后,我现在用光猫改桥接,路由拨号后,只要路由器不做端口映射,是不是就不叫暴露了自己的内部端口,也就不存在安全问题。
第 1 条附言 · 2024-06-05 16:49:27 +08:00
选了第三种方式。但是遇到了问题……
现在的情况是,域名服务商是腾讯云,托管在 cloudflare 上
用 ddns-go 已经跑通了域名和公网 IP
问题出现在 NPM 反代上,申请了 cloudflare 的 SSL ,如果用 http 的话访问域名跳转路由器登录页面。
ddns 解析正常
https://imgur.com/KtJYSAR
npm 证书正常
https://imgur.com/IT8PXgY
NPM 反代配置
https://imgur.com/WIGPDaa
https://imgur.com/Ffx5uNX
NPM 端口设置及路由器映射
https://imgur.com/6yhq6wu
https://imgur.com/0KNLbzC
应该都差不多了,不知道哪出了问题,有没有大佬可以指点一二
现在的情况是,域名服务商是腾讯云,托管在 cloudflare 上
用 ddns-go 已经跑通了域名和公网 IP
问题出现在 NPM 反代上,申请了 cloudflare 的 SSL ,如果用 http 的话访问域名跳转路由器登录页面。
ddns 解析正常
https://imgur.com/KtJYSAR
npm 证书正常
https://imgur.com/IT8PXgY
NPM 反代配置
https://imgur.com/WIGPDaa
https://imgur.com/Ffx5uNX
NPM 端口设置及路由器映射
https://imgur.com/6yhq6wu
https://imgur.com/0KNLbzC
应该都差不多了,不知道哪出了问题,有没有大佬可以指点一二
 |
1
cJ8SxGOWRH0LSelC 2024-06-05 09:10:03 +08:00  1
不必杞人忧天, 开放端口不是洪水猛兽, 你不管用什么 VPN 也必须开放端口, 不要用弱密码就行了。
|
 |
2
povsister 2024-06-05 09:12:26 +08:00 via iPhone 2
先提醒你一句,不管怎么回家,不要直接暴露任何 http 服务,不是安全问题,单纯的运营商会扫,高位端口也不行,扫到就是非法架设网站,直接停机签保证书
|
 |
3
x86 2024-06-05 09:12:46 +08:00
直接域名+DDNS 方式,回家就域名+端口+白名单认证就行了,不做映射基本没什么安全问题(关闭路由器远程 ssh )
|
 |
4
mm2x 2024-06-05 09:13:31 +08:00
难道你不知道有一种东西叫防火墙? 可以指定几个 IP 段。一般 8 线小城市就那么几个 22 段或者 24 段。
|
 |
5
tzlovezaq OP @povsister 用 nginx 做 https 之后,访问家里的 jellyfin 这种,用 https://域名:高位端口,也会扫吗????
|
 |
6
redbeanzzZ 2024-06-05 09:18:10 +08:00
同二楼,不要开 http 服务,会上门签保证书的。回家用久了还是 vpn 接入最方便,开一两个 vpn 端口就可以和内网一样使用
|
 |
7
maybeonly 2024-06-05 09:22:45 +08:00
1. 这样做没问题,反正也得经常开着
2. 做好安全措施,没问题的 3. 这样不太好,可能会被运营商处理,运营商因为安全问题不允许你开 http 服务 说安全问题有好多层面……对初学者来说比较合理的实现就是外网暴露 openvpn/wg 的端口,如果你只需要访问内网资源的话可以指定 ip 段(路由表)。 |
 |
10
fanxasy 2024-06-05 09:42:19 +08:00
最方便还是自己搭 wg ,然后在客户端把 wg 当做 surge/sing-box 的一条代理用
|
 |
11
a33291 2024-06-05 09:44:21 +08:00
借楼问一下,如果通过分到的 ipv6 地址对外暴露了 http/s,也会被扫吗?
|
 |
12
esee 2024-06-05 09:47:55 +08:00 via Android
我曾经把远程桌面的端口暴露出去,有一天心血来潮去看系统日志,发现 3 天时间被尝试登录几十万次只是因为密码用户名不对所以没成功。仅供参考。直接暴露服务端口做好安全措施一般没问题,但是有一种一直被贼惦记的不安全感
|
 |
14
gp0119 2024-06-05 09:49:43 +08:00 1
感觉扫不扫看地区的,我开了 plex ,qBittorrent ,bitwarden 等等用了几年也没被扫
|
|
15
povsister 2024-06-05 09:51:37 +08:00 via iPhone
@tzlovezaq 可以直接暴露 RDP ,很方便。
以及组网可以使用传统技术,比如是个手机都带的 L2TP IPsec ,压根不用考虑打洞。然后挂 PT 也是可以直接 upnp 传入,好处还是很多的。 |
 |
16
xusanduo2019 2024-06-05 09:58:29 +08:00
我擦,就光公网 IP 就已经让我十分羡慕了,我的电信宽带我打了两次电话都不给我开公网 Ip
|
 |
17
CodeLauncher 2024-06-05 09:59:06 +08:00
  会吗? |
 |
18
Laoz666 2024-06-05 10:15:41 +08:00
你说的危险是啥危险 普通人还需要担心别人攻击你这个几天就会变的 ip 吗 大胆点 直接端口直连
|
|
19
tzlovezaq OP @xusanduo2019 八线小城市联通,原因问都不问,直接开。
|
|
20
xusanduo2019 2024-06-05 10:29:23 +08:00
@tzlovezaq 羡煞我也!
|
 |
21
killerv 2024-06-05 10:47:30 +08:00
我在 ipv6 上开了一个 webdav ,不知道会不会被查……
|
|
22
tzlovezaq OP @Laoz666 危险说的是被运营商干掉,被攻击啥的我倒是不在乎,毕竟只是像看看家里的 nas 啥的,没啥重要文件
|
 |
24
myxingkong 2024-06-05 13:36:36 +08:00
如果你是苹果用户( Mac + iPhone )的话:
1.内网搭建一个 WireGuard 服务,并且将服务端口映射到公网。 2.购买 Surge ,配置好代理信息以及回家规则(指定 IP 段请求走回家节点),配置存放在 iCloud 中,这样 Mac 和 iPhone 可以共用一份配置。 3.(可选)将内网服务的 IP 地址 配置到域名上(例如:Nas 服务:nas.example.com => 192.168.1.xxx ),这样就不需要记每个服务的 IP 地址 了,并且浏览器输入域名的前几位就会自动补全。 以上是我目前的配置,配置完基本无感知回家,支持直接挂载家里 Nas 的 Smaba 服务,也支持 RDP 远程桌面 和 SSH 。并且如果使用临时电脑时也可以下载 WireGuard 的客户端回家。 |
 |
25
Rookiewan 2024-06-05 14:16:55 +08:00
我是使用 tailscale 组网,也是有公网,在自己的 nas 上自建了 derp 服务,然后暴露出去,所有设备通过自建的 derp 服务中转(不知道为什么不触发打洞,可能跟我关了 ipv6 有关系)
目前使用正常 |
 |
26
lingo 2024-06-05 15:01:20 +08:00
有公网 ip ,但是用了 tailscale 之后,就基本没用过这个公网 ip 了
|
|
27
Laoz666 2024-06-05 17:29:08 +08:00
@tzlovezaq #22 那就直接 tailscale 就好咯 ip 都不用管 ts 直接帮你打洞了 有公网 ip 相当于直连 下载速度=你的上传速度
|
 |
28
hahiru 2024-06-05 23:09:37 +08:00
扫不扫看地区。我搭了低端口 web 、网盘、bitwarden 。
而且 x 上还有我网盘被人扫到的网盘文件直链。 |
 |
29
chinanala 2024-06-06 04:37:42 +08:00
安全主要指的是不被运营商扫到停宽带。
建议在软路由层面,设置 IP 白名单列表,只开放自己日常几个网络环境下的/24 。 每月流量不多的话可以套 CDN ,这样就不用高位端口了,软路由只允许 CDN 的 IP 入站。 或者买台国内 affman 的 NAT 转发机,成本低,关键不用担心被停宽带。 |
 |
30
Djlion 2024-06-06 08:15:56 +08:00
我家就映射出了一个 ssh 端口,在公司电脑上通过 MobaXterm 创建 SSH Tunnel ,在浏览器用 SwitchyOmega 配置好代理,可以访问家里的各种 web 服务,目前对我来说基本就足够了。
|
 |
31
UXha45veSNpWCwZR 2024-06-06 08:51:09 +08:00
@Djlion 我也是,1,SSH 端口.2,BT 端口.3,hysteria2 端口.
|
 |
32
986244073 2024-06-06 10:40:57 +08:00
老哥现在用啥方案呢
|
|
33
tzlovezaq OP @986244073 第三种方案,只在路由器上映射 NPM 的高位端口。
全都用 npm 和 cloudfare 做了 ssl 证书,只用 https 访问,如果被扫描到了,我就认了! 就我自己在外面看个小片片,不至于逮我进去吧。 我 append 的那个问题,是因为我在群晖上部署了 openwrt 旁路由,并且群晖走了旁路由网关所以路由器无法映射出 npm 端口,现在可以了。 外网访问非常丝滑,看 4khdr 都不卡,下行速度峰值 18m/s ,舒服了。 其他没有登录页面的,或者常见端口的服务,都通过 tailscale 来访问,也挺快的。 |
 |
37
jqyang 2024-06-12 10:57:34 +08:00
@povsister 这么严格的吗,弄个公网 ip ,映射一下 Home Assistant 的 8123 端口这种也不行吗(可以登陆管理界面)
|
|
38
tzlovezaq OP @jqyang 反正我 NPM 反代,只对外映射 NPM 的端口,然后反代出来很多服务了。bitwarden 、jellyfin 啥的,现在还没啥问题。
|
Select Language