V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
abcbuzhiming
V2EX  ›  NAS

请问各位如何看待 DDNS+IPv6 环境下的安全问题

  •  
  •   abcbuzhiming · 2023-11-22 17:31:50 +08:00 · 2932 次点击
    这是一个创建于 367 天前的主题,其中的信息可能已经有所发展或是发生改变。
    自从 IPv6 这东西普及后,很多人直接用的就是 DDNS+IPv6 直连自己的 NAS 。而似乎 webDAV 和 smb 都不是特别安全。以前说 Ipv6 地址多,黑客扫不过来,可是如果用了 ddns ,这个范围就被缩小了,如果你的域名被人知道了呢?
    所以 NAS 的安全性到底该怎么做?开 vpn 或者 zerotier 虚拟组网吧,这个方案其实挺麻烦的,只适合比较专业的人干。
    26 条回复    2024-01-07 12:23:13 +08:00
    raysonx
        1
    raysonx  
       2023-11-22 17:36:32 +08:00 via iPhone
    我个人建议在直连的情况下配置双向 TLS ( mTLS )认证,没有客户端证书的一律拒绝连接。
    AoEiuV020JP
        2
    AoEiuV020JP  
       2023-11-22 17:37:21 +08:00
    有人盯你域名扫的话 ipv 几都不安全,
    我是家里路由器只暴露一个 shadowsocks 端口,在外都是用 clash 分流通过这个 ss 端口访问家里内网设备,
    nas 自己密码设置好些直接暴露出去也不会很危险吧,
    wangbin11
        3
    wangbin11  
       2023-11-22 17:41:06 +08:00
    用 vpn 面板吧,ipv6 开个 udp 端口用于 vpn 其他全部干掉。能过滤很大一部分
    www.feishuwg.com,我公网 ipv4 目前这么干的,还没遇到过入侵
    littlewing
        4
    littlewing  
       2023-11-22 17:50:37 +08:00
    DDNS+IPv4 不也一样的问题?
    YsHaNg
        5
    YsHaNg  
       2023-11-22 18:04:06 +08:00
    蜜罐服务器 多攒点 ip block list 把 22 3389 什么的全打开一般点的扫描就会对你真正端口视而不见了
    bobryjosin
        6
    bobryjosin  
       2023-11-22 18:18:03 +08:00 via Android
    你自己也说了,那只能 nat+vpn 组合拳咯,攻击面最小,入站一律 deny/drop 只开需要的端口,ipv6 除了蹲点打窝,其他的也不太容易被扫,嫌麻烦那就简简单单设个强一点的密码,祈祷自己不被扫。
    billlee
        7
    billlee  
       2023-11-22 18:22:03 +08:00
    VPN 有什么麻烦,反正都是要开梯子的的,加一条分流规则而已
    jeesk
        8
    jeesk  
       2023-11-22 21:58:07 +08:00
    知道 cloudflared 的认证功能吗? 要先访问部署的服务, 先认证再访问。
    jeesk
        9
    jeesk  
       2023-11-22 21:58:48 +08:00
    你部署 webdav 非要裸奔, 你要是设置个账号密码认证,恐怕也不太好盗取你的资料吧?
    wheat0r
        10
    wheat0r  
       2023-11-22 23:11:28 +08:00
    webdav 带 basic auth 的安全性可以吧
    serafin
        11
    serafin  
       2023-11-23 00:51:37 +08:00
    DDNS+IPv4 和 DDNS+IPv6 安全方面区别不大。认为 IPv4 安全是因为没公网的 IPv4 不对外提供服务。想要安全就 VPN / zerotier 虚拟组网。想要方便就端口直连。折中用内网穿透或者 CF tunnel ,即不安全(相对 VPN )又不方便(相对直连)。
    hysjw
        12
    hysjw  
       2023-11-23 01:00:51 +08:00 via iPhone
    VPN 一点不麻烦,而且这是最安全最不容易被破坏的方式
    iamwin
        13
    iamwin  
       2023-11-23 01:53:26 +08:00
    完全不怕, 我装了硬件防火墙, 对外只开放 vpn 端口, 并且写了代替 ddns 同步动态 ip 的程序来防止逆向探测
    DataSheep
        14
    DataSheep  
       2023-11-23 09:04:39 +08:00
    @serafin CF tunnel 动动手指就可以开零信任,还是挺安全的。
    kenvix
        15
    kenvix  
       2023-11-23 10:09:15 +08:00
    你要是怕域名被扫,大可整个 5wedrf1erg1fsg5eh1845y15uuy5tk1yu55fgg434815fas1c5sb1rtyj1ty1fghj675y1erfgsd5gsd.example.com 这样的域名出来
    deorth
        16
    deorth  
       2023-11-23 10:27:49 +08:00 via Android
    防火墙?
    relife
        17
    relife  
       2023-11-23 11:33:05 +08:00
    现在很多家庭网络分配的 ipv6 都是假公网,根本不能给外部访问 XD
    HackerTerry
        18
    HackerTerry  
       2023-11-23 12:13:44 +08:00
    @iamwin 大佬牛逼,请问有哪些品牌和型号的硬件防火墙适合家用?
    @billlee 我用的是 wireguard VPN 访问内网,可以写分流规则吗?如果可以的话怎么写?
    abcbuzhiming
        19
    abcbuzhiming  
    OP
       2023-11-23 14:56:25 +08:00
    @iamwin 请问是什么级别的硬件防火墙,多少钱?



    @relife 我在别处也看到了类似说法,但是我目前为止,见过典型,移动,联通的宽带 ipv6 ,还没有发现一家是假的的情况,见过的无法从外部访问 ipv6 的问题,多半出在猫的防火墙关不掉上,所以我其实很好奇这种 ipv6 假公网都是在哪里
    kilvn
        20
    kilvn  
       2023-11-23 16:29:02 +08:00
    tailscale 不就行了,有什么好纠结的,webdav 设置密码是常规操作,加上 ts 内网访问没什么问题。
    ll26571
        21
    ll26571  
       2023-11-24 10:32:16 +08:00
    把密码设好就已经能应付大部分的攻击了,哪有那么容易被搞啊
    que01
        22
    que01  
       2023-11-24 16:43:12 +08:00
    webDAV 感觉性能有点捉急,动不动就卡,smb 实际上你公网 ip 应该会被封 smb 端口,不连 vpn 你其实也用不了 smb 。。。另外我是用的 ros 在拨号,整体封了国外 ip ,然后做了个防火墙,一扫就封 IP....然后 nat 转发把 nas 暴漏出来这样就还好
    SiADGRZXoxhpHoL7
        23
    SiADGRZXoxhpHoL7  
       364 天前
    再买个防火墙,不行就内网再加个入侵检测。再不济就加个网闸。一定有适合你的方案。
    relife
        24
    relife  
       351 天前
    @abcbuzhiming 我这边广东电信是这样的
    abcbuzhiming
        25
    abcbuzhiming  
    OP
       347 天前
    @relife 广东电信给的不是公网的 ipv6 地址?能截个图看看不?我没见过这样的
    benjaminliangcom
        26
    benjaminliangcom  
       321 天前
    @kenvix #15 我现在也是有这么做,并且 ssl 证书要用泛域名的,以免泄露,下一步大栓搭建一个 Decoymini 在 www 上看一下被扫的概率
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2649 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:19 · PVG 18:19 · LAX 02:19 · JFK 05:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.