请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
之前因为 ZeroTier 和 TailScale 都没法打洞成功,配置过 CF Tunnel 速度也很感人。因为手头有个 VPS ,日常延迟大概在 150-200ms 之间,所以考虑通过 VPS 部署 FRP 映射 Nas 的服务到公网
原本我准备采取 Gemini 推荐的方案:用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口
https://v2ex.com/t/1177457 但是上午看到这个帖子,有点吓到我了,因为准备的方案和这个帖子里的做法基本是一样的。是不是这样配置还是不太安全?
Nas 上部署了 bt webdav 图床 博客 plex 这些业务,这里的服务除了博客以外,访问都必须登录。如果通过 FRP 暴露到公网,会导致我的 Nas 数据有风险吗
 | 1 m3mcpy 5 小时 42 分钟前 推荐 Pangolin |
 | 2 yikedianzi 5 小时 28 分钟前 不好,要花钱,不方便,看你这个 ping 值,我感觉还不如老老实实 CF Tunnel 要稳一点。 |
 | 3 ChicC 5 小时 26 分钟前 via iPhone ipv6 直 |
 | 4 yannxia 5 小时 20 分钟前 Web 服务有漏洞就会被利用,很正常, 我有公网 IP 跑了几年,没被攻击过,主要还是要记得升级。 |
 | 5 neetz OP @yikedianzi CF tunnel 太不稳了,经常 500ms 以上了 |
 | 6 SenLief 5 小时 5 分钟前 via iPhone 我是用 ipv6 ss 回家,不想让 nas 暴露在公网。 |
 | 7 psllll 试试 frp 的 xtcp https://gofrp.org/zh-cn/docs/features/xtcp/ |
 | 8 ntedshen 4 小时 11 分钟前 日常延迟大概在 150-200ms 之间。。。 这种延迟 frp 中转怕是能给你干到响应 1s+。。。 |
 | 9 zyq2280539 3 小时 30 分钟前 还好吧,我自己的一些服务就是用腾讯云做中转的,而且全部都部署了 https ,每个业务一个子域名,还是挺方便的。就是延迟有点高,第一次白屏时间长点,打开以后浏览器有缓存了后面基本就是秒开了。 |
 | 10 AkinoKaedeChan 3 小时 29 分钟前 via iPhone mTLS 认证,或者直接用 OSS (比如 Authentik )做反代。 TLS 不必说,主流的 OSS 代码也经过较为严格的审计。 不过既然可以接受 VPN ,用 TailScale 的 DERP 中转也没啥问题吧… |
 | 11 ETiV 3 小时 23 分钟前 via iPhone |
 | 12 Jacksu 3 小时 11 分钟前 做好安全问题,一般没啥问题。 1 、防火墙层面仅允许中国 IP 访问(反正你在国内) 2 、nginx 配置一下仅允许指定 host 访问(杜绝 IP+端口访问,不随便公开访问的子域名就很安全了) 3 、映射的内网服务都要有鉴权,不要不设密码或者超简单。 |
| 13 AkinoKaedeChan 3 小时 5 分钟前 还有点,因为证书透明度机制,所以其实申请公共 CA 的 TLS 证书中的 Common Name 和 Subject Alternative Name 是完全公开的,实测会有扫描器来扫。 |
 | 14 holoto 2 小时 58 分钟前 nas 和服务器 用 ZeroTier 和 TailScale 组网链接,然后在服务器上 socat 转发 nas 端口到服务器本地 。其他设备直接组网 链接服务器转发的这个端口就行。服务器记得设置 ufw 防火墙 端口限制区域访问 这种最安全了 |
 | 15 PerFectTime 2 小时 35 分钟前 前端用公有云的 VPS, 通过 n2n 连接到家里, 所有的服务都通过 n2n 的内网地址在 VPS 上配置反向代理, 且所有非公开服务前端必须要套一个 oauth 认证, 如果确定有 api 需要公开, 再设置例外, 可以用 authcrunch+caddy+auth0 |
 | 16 syuraking 2 小时 21 分钟前 建议 tailscale ,可以直接不需要开任何其它端口 |
 | 17 SSang 2 小时 10 分钟前 你只要暴露公网,就不安全,真要黑你,防不住的。不是你用什么姿势的问题,是如果你的软件本身就有漏洞,那你怎么防搞他都有漏洞。 但是不要因噎废食,第一全网的扫描不会做很复杂的操作,又不是定向爆破,不要怕,第二,大部分出名的软件都经过市场检验的,而且大家都在用修复的也快,你看像 dify 这种,一爆出漏洞马上光速修复了。 你要做的是就是重要做好备份,敏感数据做好加密,就行了 |
| 18 SSang 2 小时 9 分钟前 还有 frp 真的水管太小了,有条件还是 ipv6 吧 |
| 19 SSang 2 小时 7 分钟前 你要更安全一点,那就是 VPN ,SS 代理,这种要转一层回去的 |
 | 20 PeterTerpe 2 小时 7 分钟前 via Android 考虑过 cloudflare 免费的 tunnel 吗?不用管证书还可以加 waf |
| 21 PeterTerpe 2 小时 5 分钟前 via Android @PeterTerpe #20 唯一的缺点是有文件大小上传限制,好像是 500mb 左右吧,也跟上传策略有关系,分块上传应该没有问题 |
| 22 PeterTerpe 2 小时 2 分钟前 via Android 不好意思没认真读题 |
 | 23 PrinceofInj 1 小时 58 分钟前 事实上,只要设置一个强密码,没有漏洞,普通人直接暴露公网没任何问题,毕竟就一个平常的常见服务登录网页,别人为什么要从千千万万个里面挑出你的来特意攻击?我的 NAS ,路由器( openwrt )还有各种服务,全都公网直接暴露,统统设置的强密码,后台时不时就能看到有人尝试登陆,尤其是 openwrt ,因为用的是 8443,经常见尝试登陆的日志刷屏,目前为止依然安全。大概接近十年了吧。 |
 | 24 MADBOB 1 小时 55 分钟前 via iPhone 我是群晖,5001 直接上公网,做好安全策略,多次失败直接禁 ip ,用了 7 、8 年啥事没有,成熟的 nas ,web 没有这么多漏洞的 |
 | 25 dobelee 1 小时 53 分钟前 mark 一下,我也在研究这个方案。不太想手机连内外 vpn 太麻烦。 |
 | 26 jinlong 1 小时 51 分钟前 我的办法是先部署雷池 WAF ,开启人机检测+访问密码。雷池再反向内网的相关服务,这样没访问密码,扫描器也没用,哪怕访问你域名也无法访问后段服务。 |
Select Language