经过此次飞牛的漏洞，搞不懂为什么都喜欢直接把服务公网暴露出去

我也是这样，但来给反方说点话：

1. 资源分享给他人不方便
2. 移动端配置访问麻烦（个人 VPN 和用来翻墙的 VPN 互斥，配置代理路由麻烦）
3. 有免费的公网映射服务，不用白不用
4. 自己配置麻烦
5. XTCP 不稳定，还是需要稳定的 NAT 穿透

一般来说需要公网访问的资源，都有登录验证吧，虽然不保证这些 web 服务没有漏洞。

安全与方便不可兼得。VPN 使用不方便，因此牺牲安全性换取方便性

俩字:方便

我为反方说一点。
为异地的父母备份照片用。

我也喜欢暴露到公网，不过暴露出去的是正向代理端口，当然配了一个 32 位强密码

能用 vpn 都用 vpn

安全、方便、免费，这就是不可能三角。哪怕是 V 站相对专业也是有人觉得改个端口，改个复杂密码当鸵鸟埋沙地里就能万事大吉的。

跟公网暴不暴露有什么关系我请问? 走 FNConnect 也算公网暴露出去吗? 国产 NAS 像绿联极空间全部都自带外网访问不需要你有公网 IP, 为什么人家没出问题? 本质上不是系统漏洞造成的吗? 是蠢还是坏我真求你们这帮人了能不能别给飞牛在这边洗了?

使用方便，喜欢 wg 可惜，Android 对 UDP 数据包兼容性太差了，局域网都爆卡

从普通用户的角度说，直接端口暴露就不说了大概率根本不懂，fn connect 这是 OS 官方提供的外网访问的通道，在非技术用户的眼里就是公网访问最靠谱的方案，比你说的 VPN 、FRP XTCP 、STCP 更有安全感，至于什么是直连这种技术细节那肯定是不懂的。
而且 fn connect 可是官方提供的唯一付费软件服务，fnos 也是宣传的对小白友好，到最后你被告知怎么这么没有安全意识，怎么会用公网直连这么危险的方案，我相信普通用户肯定是一脸的懵逼，你在说啥？

其实就是需要便利性，因为家里其他不懂技术的人，希望直接可以访问到；家庭 nas ，他们希望可以在外面使用；

终于看到一个正常的帖子了！涉及自己隐私数据的存储，自己肯定要有一定的安全意识！！！我不是帮飞牛官方甩锅，飞牛确实处理的太慢。但是这次受影响的基本都是那些没有安全意识的，最起码的 web 和 ssh 默认端口也不改，上公网了防火墙也不开 这些人更不会想着用 web 防火墙了。 这次的事情能让大部分没安全意识的 NAS 用户提高安全意识也算半个好事了，毕竟成长总是要付出代价的（好奇有没有自己拍的小电影流出的）。

@sentinelK 谁能想到这个玩意的锁子就是挂在上面的压根就没锁

@eber fn connect 这种付费服务也怪用户暴露公网么

@diudiuu 关键是已经几个月了压根就锁不上。还要告诉用户已经锁了，结实着呢。

走飞牛官方的 FN Connect 都会出问题的，又不是只有用户自己折腾才会暴露到公网上。FN Connect 已经算是飞牛的盈利方式了，有收费版

@sentinelK 这样比喻完全就是偷换概念了，互联网理论上无数人都可以时刻攻击你，现实中我去看一眼你家大门的成本都不是一个级别的

哦对了，门锁厂家还有窃贼一键通服务哦，用户你只要交钱，即便你的大门开在天上，飞牛也可以一键送贼到家。

@sentinelK 哈哈 他那个就是在门外面放了一根门闩,都没锁子了

你喜欢安全，我喜欢方便。我甚至曾经把路由器的 ssh 暴露过，没开秘钥登录，用的 32 位随机密码，每天都要收到爆破的记录，让他们尽管爆破去吧，我及时更新系统，被破了算我倒霉。包括我现在阿里云的主机也是这样的，没次想用的时候直接就远程连上去了。

@cat55 哦，你意思是说，飞牛 OS 自身没有任何安全机制。以及他家的收费穿透服务也没有任何防御机制。

上面怎么好几个，连这次的漏洞是什么东西都没弄清楚的，就开始指点江山了。甚至还是开始定义“正常的帖子”的。
这次跟暴露公网有什么关系，跟设置密码有什么关系。好歹知道这次爆出来的漏洞是什么漏洞之后再发言吧。

@icy37785
@sentinelK

难道不喜欢看最后一句吗，还是说都不喜欢看完，我可没有说飞牛就是对的，怪飞牛是对的，但自己是不是也可以提高安全意识

@cat55 难道都不喜欢看第一句？我说上面有好几个，我说你了嘛？

@cat55 你说的对技术论坛用户确实有一定价值，但 FN 这次波及更广的是广大小白用户，你不可能让非技术用户都去理解什么是 TCP/IP 直连，什么是 VPN ，什么是代理协议，就跟你也不了解其他很多领域的专业知识一样。那么事实上从普通用户的视角唯一学到的就是重要用途不要使用小厂的免费产品。虽然用户不了解技术细节，但 FNC 是飞牛官方背书的连接方式，出了问题当然只能怪飞牛，再要怪的话只能怪自己为什么图便宜选择飞牛

@Hephaistos 用 fn connect 不就暴露到公网了？有安全意识会用官方的 fn connect 吗？反正我从来没用过这种第三方（非自有渠道）的穿透服务。之前宽带没有公网 IP 就自建 frpstailscale 组网防失联，有了公网 IP 也只敢把无所谓的服务直接暴露在公网，并且一定是从 web 防火墙（雷池）处统一对外暴露。

@icy37785 "这次跟暴露公网有什么关系，跟设置密码有什么关系。好歹知道这次爆出来的漏洞是什么漏洞之后再发言吧。"

对对对，你对

@cat55 你看，这个问题就在于此。

1 、飞牛 OS 、穿透收费产品本身在产品定义上，是有安全机制的，但已失效数月。
2 、他是否有明确告知用户飞牛 OS 的设备不能外网访问，或外网访问的危险性？
3 、飞牛在整个生态中是否牟利？又是否基于利益的原因阻止用户止损？

你这样说话，和劝遭性侵受害者多穿点，命案受害人早点回家有什么区别？

@PrinceofInj ssh 的安全水平和这些小公司随便写写的软件能一样吗，哪怕真有人有 ssh 的 0 day 都不会拿这种千万价值的漏洞用在你身上。
一般小公司员工瞎 jb 乱写出来的软件天然要有这个不安全的觉悟，但普通人没这个意识。

@cat55 你又喜欢应激，还喜欢自己对号入座进去应激，那我实在是没办法跟你沟通，block 了。

@icy37785 #24 不就是路径穿越漏洞吗？我用 tailscale 会被影响？我外层包个雷池（随便一个简单的 web 防火墙）会被影响？ 受影响的这群人啥防护都没有直接就敢暴露（包括第三方穿透）他不被入侵才出鬼了！另外：市面上第三方穿透服务应该也都是只提供了穿透吧？谁家穿透服务会送防护？

@eber 牛逼，你这头像亮瞎了我的狗眼，居然还是个 HDR

@skylancer 哈哈，看来老哥用的是个值钱的设备！ 此头像只攻击有钱人

话说飞牛会不会因此凉凉。FN CONNECT 是收费服务，目前能证明通过 FN CONNECT 被黑。但是没法证明被黑的用户不是通过 FN CONNECT 通道。那么那些交了费，然后被黑的用户联名起诉。是不是就是稳赢。

@icy37785 都说了，是你对，你急什么

@eber 第三方（非自有渠道），这不就是给小白们用的飞牛的官方收费内网穿透服务么？
收费了还不提供安全性，笑。
飞牛的用户群可是有大量小白的，懂点技术的谁去用飞牛阿

还有人开炮，我帖子聊的就是“暴露公网”一事，涉及到的话题居然说跟我无关，太逆天了

@leang521 中国法律不支持集体诉讼，并且数据问题很难定损，最终他们也赔不了几个钱

飞牛么，爱用多用，自找麻烦罢了

因为要给家里人用(相册).
我自己的话, 如果要跟梯子和 tailscale 共用也有点麻烦,ios 的 VPN 同时只能开一个

事实就是很多人就是这么干了，厂商提供了面向小白的功能，又不教育用户有风险，又出了系统 bug ，他们是受害者好吧，你充满了自以为是的傲慢，觉得自己懂了点就比别人优越了，可以随便看不起别人，抱着这种心态建议别做任何面向客户的东西

只用飞牛的影音，全是电影电视剧，随便拿。

有一说一，隐私数据放到飞牛上，从一开始还是有点不放心的。 不过飞牛播放器确实体验还不错。

消费级产品的受众就是消费者而非专业用户。
懂网络安全会搞 VPN 之类加密入口的人，我就问你为什么不弄主机装 Debian 而要去买消费级产品。

该说是很典型的知识的诅咒吗，因为「我懂」，所以用产品的普通用户一定也像我一样懂，既然他们都像我一样懂，为什么他们不自建网络基础安全设施。

花了一分钟看了一眼楼主的回复记录，能明显看到楼主有非常丰富的网络知识理解，能跟坛友关于 NAT 方式吵半天，能对路由线路侃侃而谈。这种远超普通人的知识水平会严重阻碍一个人对普通人水平的认知。我好心劝一句，自己想想在你自己不懂的领域，别的领域的大牛指着你鼻子骂你傻子连这点那点基本道理都不懂的时候你是啥感觉。

基本上玩 NAS ，都会找运营商，桥接，说明公网暴露是“刚需”；
加固的话，白名单最好；其次 iptables+ipset+访问日志匹配拉黑；

很多事情都是要为方便让步的，想不明白是因为你没有场景，比如给异地的女友、爸妈、朋友用（分享）？

我就是个云厂商相关产品的开发，自认为还是很精通各种安全配置、网络配置了，当初买 nas 的时候也是老老实实买的成品，坚决不公网暴露任何服务。另外多说一点，本地冗余方案也是老老实实用厂商的，没有搭任何额外服务，自己只额外写了个脚本搞自动同步到云厂商 OSS 冷归档的逻辑

直接 zero trust 就完事了。。。商业零信任产品这么多，随便弄个过来就是降维打击

还是牺牲一点便利，套一层 vpn 吧，不要把安全寄托再别人身上，今天是飞牛出问题，明天可能就会是别的

主要还是防护做的差了 这里指的是自己 web 的防火墙 越方便越不完全 又不加防护就变成现在这样子了

至于用 FN CONNECT 的服务去连接 那确实 FN CONNECT 自身没有加防火墙(他本质和反代差不多 是能够做 waf 的防护的) 但是他只仅仅做了穿透工作,即官方也只用了反代功能而没有加 waf 防火墙 和自己用公网反代映射没有 waf 一样

还在洗？飞牛的论坛 25 年 12 月已经有人报了这个问题了，也有飞牛官方的人回复了，但是一个月了还没修复

如果我花了钱，还遇到这样的情况，这钱我为什么花呢？ TrueNAS 等等也不是不能用。

@icy37785 这里面的 b 让你给装起来了,密码看不懂人说的话吗??? 你确定你是人类能懂人在说啥,跟个唐氏一样,让你给装起来了.

暴露在公网上的网站多了去了，做好防护的风险并没有那么高，家庭用户自己暴露到公网的风险在于绝大多数用户没有能力去做安全措施。

官方的透传不一样，用户按月交钱提供资金支持，厂商的安全团队做一份策略就能给所有用户提供防护。哪怕还是出现了 0d ，官方的安全团队在透传上打补丁就能立刻覆盖所有用户，专业的安全团队通过日志确定受灾用户进行针对性通知也比让用户自行排查更方便、省心。相当于拼团凑了个专业团队提供安全服务，理想状态下还是比较安全的。

显然飞牛只认为自己卖的是付费 frp 服务，而且也完全没有能及时响应的安全团队，可能是用户交的钱还不够吧。

@eber #28 你要是就自己用随便说。我类比一下，我用群晖，用官方的 ddns 链接，给家里人分享照片备份照片，这也出问题，不是系统的问题？还能怪到用户头上？当然你也可以说飞牛免费。那他付费的穿透服务呢？

@supemaomao 我直接用百度云，简单好用

所以到底是啥情况，有没有懂哥总结一下发生了什么？

当前 NAS 上运行一个 docker 里面尽有一个 sshd 只开了 key 认证，外部的时候需要先 ssh 进来 然后代理访问内网；
假设 ssh 密钥丢了，他也只能进来做跳板，内网都有认证；还算安全，对外 ipv6 + port 关闭 ipv4 不容易扫到；之前 ss 担心 ss 有后门；

@eber 肯定有的，91 网站又要多一批新鲜资源了

@diudiuu 你这种满口喷粪的。我甚至没跟你说过一句话，你就开始人身攻击了，我只能 @Livid 了。

@MiKing233 这和给飞牛洗地有啥关系 , 本身如何是网络小白, 确实不应该把服务放到互联网上啊. 别说是飞牛, 就是群晖谁又能保证是绝对安全的. 就算是服务是安全的, 小白又怎么保证用户名/密码不泄漏 .

怎么还有人觉得 FN Connect 不算暴露公网的，难道只有 IP 直连才算公网吗，FN Connect 不就等于官方配套的公网服务吗，怎么就不算公网了，公网又只有公网 IP 才算公网

“公网又只有公网 IP 才算公网” 打错

应该是

公网又不是只有公网 IP 才算公网

主要问题是中国不允许端到端加密，否则这个问题压根不是问题

@eber 应该是没仔细看这次的事件吧。即使没有映射和开放任何端口到外网，也没有通过自建的穿透到公网服务器，仍然可能会受到影响，这是 FNC 服务的设计导致的，通过遍历扫描几乎可以连接到所有开启了这个服务的机器，样本统计下来，FNC 开启率还是非常非常高的，平均下来也在 80%以上。这个是飞牛系统除硬件收入、企业订阅外的很大的商业收入来源，而且提供了免费慷慨的接入服务。

如果开启这个服务也会导致所有数据全部泄露，那我感觉不太能因为这个行为怪用户~

本质上是这个漏洞太低级了，低级到近 20 年我作为半个网安圈的人都没怎么遇到过知名系统犯过这个错误

即便是 nginx+basicauth ，配置对的话放着不管几年内应该不会有问题(出问题了咱数据也不值这 0day 的钱)。
我现在两台 all-in-boom 配置是 pve/esxi + debian/arch + ng/caddy(in docker) + 一堆自己打包的其他 docker 。都是公网直接暴露端口(ssh+https)。