家里的 NAS 通过 IPV6 公网绑定了域名,现实了外网访问。但是 NAS 上挂了一些 QB 之类的下载(没套 VPN ),容易被人获取到真实公网 IP ,很多服务都挂在 NAS 的 docker 上,感觉安全性是个很大的问题。 目前只了解到通过限制 IP ,或允许某个 IP 段来进行访问,其他的没有了解到太多。 求教有没有类似内网穿透的方式,组局域网实现私有访问。类似 zerotier 组网的方案,但用的是自己的网络不依赖第三方。
1
CivAx 278 天前
你的 NAS 没有前置路由器吗?只开放必要端口就好了吧
|
3
Latin 278 天前
nat 打洞+wireguard
不过每次 ipv4 变动要改配置的连接信息 |
4
imdong 278 天前 via iPhone 1
不暴露服务,都通过 OpenVPN 或者 HTTP/Socket5 代理。
|
5
zaq 278 天前 via Android
两个 nas ,一个开服务,一个装重要资料
|
6
renmu 278 天前 via Android
套一层 cf ,或者用 n2n 什么组局域网
|
9
lanif 278 天前
frp 到 vps
vps 上 nginx 到 frp 最后套上 CF |
11
ntedshen 278 天前
纯自用不要上 cf ,证书全部自签就完了。。。
公共证书会公开域名记录。。。 |
12
heliushao88 278 天前 via Android
@ntedshen 哥,cf 是什么技术?如何安装?
|
13
imrei 278 天前
我的方案是用 softether 给 nat 打洞开 l2tp 和 openvpn 连回本地访问 nas ,如果直接访问,可以考虑楼上说的 cloudflare ,需要自己域名设置。nas 系统或多或少都有点莫名其妙的漏洞,直接外网太吓人了
|
14
ntedshen 278 天前
@heliushao88 啊?都挂上域名了难道不是指的 cloudflare 的 tunnels ? zerotrust 里照文档搞就完了。。。
要搭 routes 那随便。。。 |
15
securityCoding 278 天前
docker 起个 cf tunnel agent 自己映射 service
|
16
jonsmith 278 天前 via Android
我是直接 DDNS ,绕来绕去速度就慢了。
|
17
imPrk 278 天前
看到你这篇帖子我想到了 OpenGFW 还是很有用的
|
18
coffeesun 277 天前 via Android
我 zerotier 连,否则群晖官方 quickconnect 地址连
|
19
lin41411 277 天前
我自己的
DSM:反向代理暴露到公网,独立的二级域名(通过 IP+端口是不能访问的,因为没暴露端口出去),关闭 Admin ,仅开主账号 DSM 权限,其它家庭账号关闭 DSM 权限,开两步验证,开自动封锁,群晖内定期导入黑名单 IP 。 Webdav:因为没办法通过两步验证保护,这个服务权限太高,能随意浏览我群晖内的数据,因此我没有暴露到公网,外面套一层 VPN ( Wireguard )使用。 Aira2: -- WebUI:反向代理暴露到公网,独立的二级域名,无法通过 IP+端口访问,WebUI 添加了 Basic 认证,没认证打不开 WebUI ,也不知道这背后是什么服务。 -- RPC:反向代理暴露到公网,独立的二级域名,无法通过 IP+端口访问,独立的 RPC 密码 qbittorrent / Transmission:WebUI 反向代理暴露到公网,独立的二级域名,无法通过 IP+端口访问,WebUI 添加了 Basic 认证,另外 qb 还有一层独立的登录账号密码; matrix_synapse: 反向代理暴露到公网,独立的二级域名。知道这玩意的人不多,WebUI 关了,需要特有的客户端才能接入服务,而且我关闭注册,基本上属于完全私有的聊天工具; Bitwarden: 类似上面 synapse ,反向代理暴露到公网,独立的二级域名。WebUI 关了,只能通过客户端接入私有服务。 |