小弟刚接触软路由,装了黑裙,黑裙下 docker 装了 jellyfin,之前都是内网使用的 因为有公网 IPV6 ,现在通过 ddns-go 来解析到一个域名,通过这个域名+端口访问 jellyfin 实现外网看电影,看了很多帖子貌似这样算私设 web 服务,存有喝茶的风险? 如果真可能喝茶的话,请问有可行的替代方案吗,况且我这种方式在外没有公网 ipv6 也是无法访问到家中设备的,只能手机开数据访问
1
totoro625 2023-09-28 11:06:26 +08:00
1. 不用公网 ip ,使用 cloudflared tunnel ,走国外中转,获得 IPv4+6
2. 走 1w 以上高位端口 3. 域名备案后再套 ddns (玄学,风险降低) 4. Tailscale 、zerotier 等工具组网,只让自己用 5. 配置好防火墙白名单,加上端口敲门,只给自己的 ip 放行 |
2
Incredibleli OP @totoro625 #1
1.cloudflare tunnel 刚搜了一下,反馈速度一般,我实际看电影会体验大打折扣吗 2.现在是群辉的 5000 和 jellyfin 开了一个 8099 ,没上反代路由,意思我将这两个改为 1w 以上端口就可以了吗 3.这个有考虑过 4.还没搭建过,看了几个帖子公司打洞有点害怕 5.上层 ikuai 防火墙是开的,具体也不知道咋弄,学艺不精半桶水搞着玩 |
3
Kaiyuan 2023-09-28 11:38:48 +08:00 via iPhone
@Incredibleli 群晖在设置里改一下默认端口!不要只用 http ,一定要用 https! 最好都不要用默认端口。再不然你直接前面加个数字也行。55001 之类。
|
4
Kaiyuan 2023-09-28 11:42:18 +08:00
群晖自动申请 SSL 证书: https://github.com/acmesh-official/acme.sh
|
5
Incredibleli OP @Kaiyuan #4 感谢您的帮助
|
6
Kaiyuan 2023-09-28 11:43:17 +08:00
|
7
CKR 2023-09-28 12:31:35 +08:00 via iPhone
搭个 ss 回去,只开 ss 的端口,连上之后再通过内网 ip 连接
|
8
garibellee 2023-09-28 12:51:54 +08:00
wireguard 回家吧
|
9
Incredibleli OP @CKR #7 搭建后,客户端选了家里搭建的节点,是否就不能过墙了
|
10
Incredibleli OP @garibellee #8 好的,我会去学习一下的
|
11
AlanStar 2023-09-28 14:35:57 +08:00
别让服务单纯暴露在公网上,用隧道之类的服务套一下基本就没啥事,暴露在公网上理论上就有对外提供服务的证据,即使你自己不是这么想的
|
12
ner 2023-09-28 15:12:30 +08:00 via iPhone
不建议用 wireguard 用它还不如用 ss 基于 tcp 的协议会更好
|
13
Approximate 2023-09-28 15:59:03 +08:00
@CKR 我之前试了下 ss 连接回去,内网 ip 是能上的,但是好像 smb 协议是不是访问不了?
|
14
sharo580 2023-09-28 16:28:18 +08:00
直接 ikv2 ,wg 或者 ovpn ,家里的服务都不能对外暴露,一定要走安全连接
|
15
jaTomn 2023-09-28 16:36:18 +08:00 via Android
我开了一个月,暂时还没被请喝茶,当然我只是家人用用,没分享给其他人。
|
16
Incredibleli OP @jaTomn #15 我也是开没几天的,保险起见
|
17
linuxgo 2023-09-28 17:29:42 +08:00
可以用 caddy 或者 nginx 做反代走 https 吗
|
18
CKR 2023-09-28 21:17:58 +08:00 via iPhone
@Incredibleli 可以写分流规则,内网网段的 ip 走回去的 ss ,其他的走正常的节点。
|
19
sayoll 2023-09-30 12:53:57 +08:00 via Android
天知地知你知,jc 也是上班难得管你那些屁事,说下我目前的方案 ipv6 域名+端口,zerotier ,vps+fpr 。域名最好托管在 cf 上方便更简单全面的防护。一般情况下 zerotier 100m 完全能跑满家宽上行了。
|
20
lxcopenwrt 2023-09-30 20:27:49 +08:00
那些请去写保证书的大部分都是运营商自己主动扫描家宽的 IPv4 段查出来的,IPv6 除非大动干戈去查防火墙的访问记录进行筛选否则基本不会被查出来,因为暂时没有这个技术在短时间内把一个/64 段的全部 IP 的全部端口扫完
|
21
Qlccks2 2023-09-30 23:53:03 +08:00 via iPhone
如果你是怕有喝茶风险,那其他方案一样有风险。
|