V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dapolly
V2EX  ›  宽带症候群

请教下 nat1 的安全性问题

  •  
  •   dapolly · 2022-07-31 22:32:51 +08:00 · 2554 次点击
    这是一个创建于 871 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景是我需要跑 pcdn ,上级路由直接拨号,下挂了 2 个京东云,只有在上级路由开启 nat1 才能有最好效果,但是担心 nat1 的安全性 查了些资料,我理解是当内网设备向外网发起连接时,路由器会做一层 nat ,nat1 模式下在 nat 端口关闭前可以从外网访问,并且不限制来源 ip 都可以访问,这种情况下,我理解内网的一些服务,比如群晖的 smb 、ftp 、搭建的 jellyfin 、以及跑的容器因为监听的端口不会对外发起请求,所以是不会被暴露在公网上的,这么看的 nat1 实际没什么安全风险吗? 求懂得 xdm 解惑

    5 条回复    2022-08-04 19:42:06 +08:00
    dapolly
        1
    dapolly  
    OP
       2022-08-01 00:07:01 +08:00 via iPhone
    又看了下资料我理解是没风险的。除非内网某个源 ip:端口跑的服务恰好存在漏洞,这个可能性太小了。
    Soo0
        2
    Soo0  
       2022-08-01 00:08:07 +08:00
    NAT4+UPNP 吧,局域网有别的服务 不建议 NAT1 ,别人可以撞
    v2tudnew
        3
    v2tudnew  
       2022-08-01 22:18:54 +08:00
    不如仔细审查安装的软件吧,这个需要软件有漏洞,通过 UDP 就能触发,还得对方一直盯着你。
    内部软件只需要服务器下发指令就能做到,配合提权漏洞你就是裸的。
    asdgsdg98
        4
    asdgsdg98  
       2022-08-04 13:51:10 +08:00
    之前干过,直接给我路由器干趴下了
    一看后台全是国外 ip ,扫端口暴力试密码,然后路由器顶不住宕机了
    dapolly
        5
    dapolly  
    OP
       2022-08-04 19:42:06 +08:00
    @asdgsdg98 不应该啊,我已经开了,我拿 nmap 扫了 1-65535 ,内部的一些服务端口都没有暴露
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1027 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 19:53 · PVG 03:53 · LAX 11:53 · JFK 14:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.