一直听说公网 IP 很香,我这八线小城市以前一直以为没希望申请下来的,没想到打电话给联通一个小时就给开通了,再联系宽带运维师傅光猫改桥接,一天的时间竟然就成了“公网用户”。 而且,我也有个域名,域名服务商是腾讯云,现在托管给了 cf 。 必须得搞点事情,现在最担心的是安全问题,因为之前内网穿透都是无脑的比如 tailscale 、cpolar 这些,有了公网后,大家的方案大概是
openvpn 、wg 这些 vpn 服务,和现在使用 tailscale 的方式差不多,好处是可以异地组网,内网 IP 访问,无痕回家,坏处是必须得开着 vpn 软件,虽然现在也一直开着
粗暴的路由器端口映射方式直接回家,感觉这个太危险了
nginx+ddnsgo+域名 方式,只在路由器对外转发 nginx 的 443 (换成高位) 端口,这个是我现在觉得比较优雅而且安全的方式。
请大家帮我斟酌一下。
还有一个非常不入流的小白问题,有公网 ip 后,我现在用光猫改桥接,路由拨号后,只要路由器不做端口映射,是不是就不叫暴露了自己的内部端口,也就不存在安全问题。
1
StinkyTofus 169 天前 1
不必杞人忧天, 开放端口不是洪水猛兽, 你不管用什么 VPN 也必须开放端口, 不要用弱密码就行了。
|
2
povsister 169 天前 via iPhone 2
先提醒你一句,不管怎么回家,不要直接暴露任何 http 服务,不是安全问题,单纯的运营商会扫,高位端口也不行,扫到就是非法架设网站,直接停机签保证书
|
3
x86 169 天前
直接域名+DDNS 方式,回家就域名+端口+白名单认证就行了,不做映射基本没什么安全问题(关闭路由器远程 ssh )
|
4
mm2x 169 天前
难道你不知道有一种东西叫防火墙? 可以指定几个 IP 段。一般 8 线小城市就那么几个 22 段或者 24 段。
|
6
redbeanzzZ 169 天前
同二楼,不要开 http 服务,会上门签保证书的。回家用久了还是 vpn 接入最方便,开一两个 vpn 端口就可以和内网一样使用
|
7
maybeonly 169 天前
1. 这样做没问题,反正也得经常开着
2. 做好安全措施,没问题的 3. 这样不太好,可能会被运营商处理,运营商因为安全问题不允许你开 http 服务 说安全问题有好多层面……对初学者来说比较合理的实现就是外网暴露 openvpn/wg 的端口,如果你只需要访问内网资源的话可以指定 ip 段(路由表)。 |
10
fanxasy 169 天前
最方便还是自己搭 wg ,然后在客户端把 wg 当做 surge/sing-box 的一条代理用
|
11
a33291 169 天前
借楼问一下,如果通过分到的 ipv6 地址对外暴露了 http/s,也会被扫吗?
|
12
esee 169 天前 via Android
我曾经把远程桌面的端口暴露出去,有一天心血来潮去看系统日志,发现 3 天时间被尝试登录几十万次只是因为密码用户名不对所以没成功。仅供参考。直接暴露服务端口做好安全措施一般没问题,但是有一种一直被贼惦记的不安全感
|
14
gp0119 169 天前 1
感觉扫不扫看地区的,我开了 plex ,qBittorrent ,bitwarden 等等用了几年也没被扫
|
15
povsister 169 天前 via iPhone
@tzlovezaq 可以直接暴露 RDP ,很方便。
以及组网可以使用传统技术,比如是个手机都带的 L2TP IPsec ,压根不用考虑打洞。然后挂 PT 也是可以直接 upnp 传入,好处还是很多的。 |
16
xusanduo2019 169 天前
我擦,就光公网 IP 就已经让我十分羡慕了,我的电信宽带我打了两次电话都不给我开公网 Ip
|
17
CodeLauncher 169 天前
|
18
Laoz666 169 天前
你说的危险是啥危险 普通人还需要担心别人攻击你这个几天就会变的 ip 吗 大胆点 直接端口直连
|
19
tzlovezaq OP @xusanduo2019 八线小城市联通,原因问都不问,直接开。
|
20
xusanduo2019 169 天前
@tzlovezaq 羡煞我也!
|
21
killerv 169 天前
我在 ipv6 上开了一个 webdav ,不知道会不会被查……
|
24
myxingkong 169 天前
如果你是苹果用户( Mac + iPhone )的话:
1.内网搭建一个 WireGuard 服务,并且将服务端口映射到公网。 2.购买 Surge ,配置好代理信息以及回家规则(指定 IP 段请求走回家节点),配置存放在 iCloud 中,这样 Mac 和 iPhone 可以共用一份配置。 3.(可选)将内网服务的 IP 地址 配置到域名上(例如:Nas 服务:nas.example.com => 192.168.1.xxx ),这样就不需要记每个服务的 IP 地址 了,并且浏览器输入域名的前几位就会自动补全。 以上是我目前的配置,配置完基本无感知回家,支持直接挂载家里 Nas 的 Smaba 服务,也支持 RDP 远程桌面 和 SSH 。并且如果使用临时电脑时也可以下载 WireGuard 的客户端回家。 |
25
Rookiewan 169 天前
我是使用 tailscale 组网,也是有公网,在自己的 nas 上自建了 derp 服务,然后暴露出去,所有设备通过自建的 derp 服务中转(不知道为什么不触发打洞,可能跟我关了 ipv6 有关系)
目前使用正常 |
26
lingo 169 天前
有公网 ip ,但是用了 tailscale 之后,就基本没用过这个公网 ip 了
|
28
hahiru 169 天前
扫不扫看地区。我搭了低端口 web 、网盘、bitwarden 。
而且 x 上还有我网盘被人扫到的网盘文件直链。 |
29
chinanala 168 天前
安全主要指的是不被运营商扫到停宽带。
建议在软路由层面,设置 IP 白名单列表,只开放自己日常几个网络环境下的/24 。 每月流量不多的话可以套 CDN ,这样就不用高位端口了,软路由只允许 CDN 的 IP 入站。 或者买台国内 affman 的 NAT 转发机,成本低,关键不用担心被停宽带。 |
30
Djlion 168 天前
我家就映射出了一个 ssh 端口,在公司电脑上通过 MobaXterm 创建 SSH Tunnel ,在浏览器用 SwitchyOmega 配置好代理,可以访问家里的各种 web 服务,目前对我来说基本就足够了。
|
32
986244073 168 天前
老哥现在用啥方案呢
|
33
tzlovezaq OP @986244073 第三种方案,只在路由器上映射 NPM 的高位端口。
全都用 npm 和 cloudfare 做了 ssl 证书,只用 https 访问,如果被扫描到了,我就认了! 就我自己在外面看个小片片,不至于逮我进去吧。 我 append 的那个问题,是因为我在群晖上部署了 openwrt 旁路由,并且群晖走了旁路由网关所以路由器无法映射出 npm 端口,现在可以了。 外网访问非常丝滑,看 4khdr 都不卡,下行速度峰值 18m/s ,舒服了。 其他没有登录页面的,或者常见端口的服务,都通过 tailscale 来访问,也挺快的。 |