最近管电信要了公网 IP,把家里的群晖暴露在公网上了,然后收到一些触发登录封锁的通知,
因为也想在公网有相对完整的体验,把所有端口都转发出去了,
目前设置了登录封锁 和 防火墙,用户密码也相对复杂,想问问还有没有其他手段能有效阻止攻击什么的?
1
trepwq 2019-09-20 10:46:03 +08:00 via iPhone
不用标准端口可以减少很多麻烦
|
2
cwbsw 2019-09-20 10:47:53 +08:00
在外面用 VPN 连回来,除此之外的端口都关了。
|
3
0DBBFF 2019-09-20 10:48:09 +08:00 1
"因为也想在公网有相对完整的体验,把所有端口都转发出去了" 你也是心大
|
4
wogong 2019-09-20 10:49:02 +08:00 1
幸福的烦恼,没有公网只能用 tinc/wireguard 之类的就不用担心这个。感觉这个就像公网 VPS 各种被扫一样,开了密钥登录 /非默认端口 /fail2ban 之类剩下的就只能忽视日志中的登录尝试了。
|
5
932279632 2019-09-20 10:50:07 +08:00
现在公司也有一台群辉,能教教咋使用吗?主要使用备份功能呢。。。
|
6
wccc 2019-09-20 10:53:58 +08:00
牛逼 我只开放 ssh nextcloud 以及 httpproxy openvpn 端口
上班笔记本都是 openvpn 连回家里 上内网 |
7
MonoLogueChi 2019-09-20 11:04:15 +08:00 via Android
三个端口就够用了
|
8
wazon 2019-09-20 11:07:31 +08:00
改掉 SSH、FTP 等的常用端口即可
|
9
cyang 2019-09-20 11:12:44 +08:00
你远程连群晖是通过 SSH 的?不是通过 https 设置个非常用端口?
|
10
opengps 2019-09-20 11:12:45 +08:00 via Android
所有端口??别闹,生产服务器都是只开放用到的端口!!!
|
11
swieer 2019-09-20 11:32:57 +08:00
不要用 admin 账号
|
12
pC0oc4EbCSsJUy4W 2019-09-20 11:33:22 +08:00 1
两步验证
|
13
her100 2019-09-20 11:39:32 +08:00
我想知道怎么获得公网 IP
|
14
carrionlee 2019-09-20 11:45:45 +08:00 via Android
开个反代服务器
|
15
Crusader 2019-09-20 11:54:40 +08:00
把所有端口都转发了。。。
|
16
Mac 2019-09-20 11:56:55 +08:00
改默认端口可以避免 99%的攻击
|
18
oul 2019-09-20 13:12:28 +08:00 1
群晖的话设置二次验证,停用 admin 账户,改常用端口号。
|
19
Untu 2019-09-20 13:44:20 +08:00 via Android 1
禁止 root 账号登录,使用 sudo,修改常用服务嗯端口,尤其是 ssh 不然会天天被爆破
|
20
jzphx 2019-09-20 14:53:39 +08:00
群晖只暴露 http 端口,开启 fail2ban 安全性还是可以的
|
21
dier 2019-09-20 15:03:59 +08:00
SSH 禁用密码登录,改端口号。
必须要密码登录的密码强度一定要高,只要记得住,越复杂越长越好 |
22
sadfQED2 2019-09-20 15:56:02 +08:00
只暴露必要端口,其他需求通过 vpn 连回去,你根本不知道你哪个端口哪个服务上面可能有漏洞,这你就直接全暴露了?
|
23
dingdangnao OP @dier 没找到群晖怎么禁用 ssh 密码,我开了 sftp 好像必须要开 ssh ?密码应该算复杂了。吧。
|
24
lanternxx 2019-09-20 15:58:45 +08:00
群晖别用默认的 5000 5001 端口
|
25
xxq2112 2019-09-20 16:27:45 +08:00 via iPhone
首先不回应 Ping,然后避开默认端口
|
26
geekvcn 2019-09-20 16:58:28 +08:00
因为也想在公网有相对完整的体验,把所有端口都转发出去了,你这习惯神仙都救不了,人家想尽办法关闭非需要端口,各种改常规端口号,禁 Ping,你倒好反着来,什么习惯啊,为什么要转发所有端口才叫完整公网体验,谁教你的?
|
27
darksword21 2019-09-20 17:18:08 +08:00
所有端口。。
|
28
roryzh 2019-09-20 17:20:36 +08:00
shodan
|
29
flyfishcn 2019-09-20 18:31:44 +08:00 1
SSH 用证书密钥登录,关闭密码登录或者设置非常复杂几乎不可能破解的密码,再配合失败封禁。就可以放心对公网开放,一般除非有溢出提权漏洞,不然基本很安全。
|
30
liuqi0270 2019-09-20 18:37:51 +08:00
nat 设置 out interface ! Lan。可以获取访问真实 IP 而非你的网关。然后按策略 ban 攻击 IP。不过遮掩设置内网不能访问你的公网地址。
|
31
alphatoad 2019-09-20 23:08:57 +08:00 via iPad
我的做法是用跳板机直接获取公网 IP,fail2ban 自动封 IP,ssh 禁密码,http 用 nginx 反代到 real server
|
32
alphatoad 2019-09-20 23:09:47 +08:00 via iPad
唯一的问题是,synology 的自动封 IP 功能似乎会无视 X-Forward header 而只认源 IP
|
33
liuqi0270 2019-09-21 09:01:48 +08:00
@alphatoad x-forward heard 带过来的不就是源 IP ?不是你的代理 IP 或网关 IP。封了有啥问题?
|
35
hymzhek 2019-09-22 13:40:12 +08:00
|
37
Chingim 2019-09-22 19:04:03 +08:00 via Android
上 https 没?不然密码再复杂也没鬼用。
我也暴露在公网了,不过只对公网开放 443 端口。ssh 权限太大,而且日常使用也不需要,只能在内网访问。 路由器也开了 443 |
38
JoeoooLAI 2019-09-25 14:05:34 +08:00
quick connect 可能是最安全最不折腾的了
|
39
Ruslan 2019-09-25 21:14:25 +08:00
我是 SSH 端口不暴露给公网,然后管理员账户开了两步验证。
|
40
siparadise 2019-09-30 16:31:11 +08:00
不是类似 443 转 6549 之类的,还是你直接原端口转出去了
|