1
yt1988 162 天前
1 、不要开 web 转发,更不要 ssh 转发。风险高,高位端口并非核心
2 、推荐操作是,开一个端口,然后路由器开一个代理服务端(常见插件都自带,tailscale 等类 WG 组网也类似)。 3 、在设备端,把本地局域网 IP 做分流,全部走家里的代理。这样就实现了不暴露转发的情况下,完全在家的体验。 4 、再补充一个点,配合 Nginx Proxy Manager 等反向代理,在路由器和设备端,写通配符 hosts ,可以实现足够短的私有域名访问,很爽。比如 nas.home router.home 。 |
2
StinkyTofus 162 天前
不要听 1L 的, 只要不要用弱密码,或者用口令访问, 端口随便开, 不会有安全问题,SSH 这些服务本身不太可能存在零日漏洞, 放宽心吧。 不建议开放 web 端口, 主要是怕运营商封公网 IP , 不是因为安全问题。不要因噎废食, 怕这怕那的影响使用。
|
4
xtynoj OP @StinkyTofus 我没有开网页或者 SSH ,主要是怕扫到远程桌面端口,登陆机器啥的
|
5
yt1988 162 天前
@StinkyTofus #2
首先我只是提供一个思路,供 LZ 选择。 其次我这个思路的核心在于大多数需求比如 3389 、http 、https 甚至非加密的流媒体的流量都有特征,通过打洞回家,可以消除掉大多数的特征,降低被运营商发现的概率。 对于大多数接入家庭网络的需求来说,更安全。 |
7
kmzs 142 天前 via Android
密码尽可能复杂,尽量不使用 administrator 这个账号,并且锁定不能用这个账号登陆,基本就没啥问题
|
8
Earsum 131 天前
要放 ssh 就用私钥认证,不然别开
web 尽量不要开免得被运营商扫到请喝茶 rdp 最好别开,除非你做了双因子认证(例如 duo ) 最好的方式是 vpn 回家,tailscale 、zerotier 、自建 openvpn 等都行 |