V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
xtynoj
V2EX  ›  OpenWrt

请教一下 Openwrt 端口转发安全性

  •  
  •   xtynoj · 162 天前 via iPhone · 1052 次点击
    这是一个创建于 162 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前的情况:有公网 ip ,DDNS 了一个域名,端口转发也尽量用了高端口
    想请教一下,我打开了 windows 的远程桌面和 smb 服务的端口转发,会有比较大的风险,或者容易被扫描到或者被攻击吗?
    8 条回复    2024-07-07 17:54:16 +08:00
    yt1988
        1
    yt1988  
       162 天前
    1 、不要开 web 转发,更不要 ssh 转发。风险高,高位端口并非核心
    2 、推荐操作是,开一个端口,然后路由器开一个代理服务端(常见插件都自带,tailscale 等类 WG 组网也类似)。
    3 、在设备端,把本地局域网 IP 做分流,全部走家里的代理。这样就实现了不暴露转发的情况下,完全在家的体验。
    4 、再补充一个点,配合 Nginx Proxy Manager 等反向代理,在路由器和设备端,写通配符 hosts ,可以实现足够短的私有域名访问,很爽。比如 nas.home router.home 。
    StinkyTofus
        2
    StinkyTofus  
       162 天前
    不要听 1L 的, 只要不要用弱密码,或者用口令访问, 端口随便开, 不会有安全问题,SSH 这些服务本身不太可能存在零日漏洞, 放宽心吧。 不建议开放 web 端口, 主要是怕运营商封公网 IP , 不是因为安全问题。不要因噎废食, 怕这怕那的影响使用。
    xtynoj
        3
    xtynoj  
    OP
       162 天前 via iPhone
    @yt1988 这样做是不是类似于加了虚拟路由器/防火墙的感觉
    xtynoj
        4
    xtynoj  
    OP
       162 天前 via iPhone
    @StinkyTofus 我没有开网页或者 SSH ,主要是怕扫到远程桌面端口,登陆机器啥的
    yt1988
        5
    yt1988  
       162 天前
    @StinkyTofus #2

    首先我只是提供一个思路,供 LZ 选择。

    其次我这个思路的核心在于大多数需求比如 3389 、http 、https 甚至非加密的流媒体的流量都有特征,通过打洞回家,可以消除掉大多数的特征,降低被运营商发现的概率。

    对于大多数接入家庭网络的需求来说,更安全。
    ll26571
        6
    ll26571  
       162 天前
    @xtynoj #4 扫到就扫到呗,多大的事,全球那么多暴露在公网的服务器,不还是都用的一样的端口嘛。只要做好“不用弱口令”这一条,有啥好担心的
    kmzs
        7
    kmzs  
       142 天前 via Android
    密码尽可能复杂,尽量不使用 administrator 这个账号,并且锁定不能用这个账号登陆,基本就没啥问题
    Earsum
        8
    Earsum  
       131 天前
    要放 ssh 就用私钥认证,不然别开
    web 尽量不要开免得被运营商扫到请喝茶
    rdp 最好别开,除非你做了双因子认证(例如 duo )
    最好的方式是 vpn 回家,tailscale 、zerotier 、自建 openvpn 等都行
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2567 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 15:44 · PVG 23:44 · LAX 07:44 · JFK 10:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.