新到手 绿联 NAS，如配置安全问题

搭个 wireguard ，所有服务都只对这个 VPN 开放

推荐使用 tailscale ，基于 wireguard ，很安全

wireguard 或者 Tailscale 组网，Tailscale 用起来很方便不过会占用 VPN 通道，不占用 VPN 通道的方式是在公网访问前套一层 ss ，参考 https://blog.akise.app/posts/nat-traversal/，这样客户端可以统一管理代理和回家节点

cloudflare zero trust 。http 服务可以直接访问，邮件验证。非 HTTP 服务可以用 warp-cli 转发。

wireguard 、tailscale 、zerotier

使用 wireguard ，tailscale 等 VPN 工具虽然能提高很大的安全性，但是如果需要给多人使用，特别是家庭成员中父母那些，这操作有点复杂了，对他们来说不是很方便。

说说我这些年来在公网的防护措施，我是家庭动态 IPv4 公网，目前已经安全使用差不多快五年了。
1 、使用 Nginx 反代，对外只暴露一个端口，服务通过不同的子域名进行访问，只允许通过正确子域名访问，禁止通过公网 IP 访问任意服务。
2 、Nginx 现在国外 IP 访问服务，因为这些公开服务只在国内使用。
教程参考： https://github.com/kekylin/Debian-HomeNAS
3 、最小暴露原则，只开放必要的服务在公网，比如文件同步、Jellyfin 、相册、音乐等等，其他如服务器管理、下载等等，全部通过 VPN 回家管理，因为这些通过 VPN 管理的服务，只有我一个人在用。
4 、安装 Fail2ban ，对上述公开的服务进行防护，错误密码登录直接封禁访问 IP 。
5 、非必要不在公共社区、论坛等地方暴露自己的域名。
6 、不要随意安装使用来历不明的程序。

暂时就大概想到这些。

@kekylin 打印店用过直连公网。后来…新光猫叫师傅改桥接，完了发现人家不给我 ipv6 用了

lucky 给别人用，自己用 tailscale

绿联内置了 lucky ，用 lucky 暴露一个端口出去，在通过子域名跳转，方便给其他人用。
采用 docker 部署 tailscale ，在用服务器部署一个中继节点，嘎嘎快。

FRP ，用 STCP 也可以，只是要在访问端开个客户端。

ipv6 很少被扫吧，开个 vpn 或者端口转发