请教一个群晖 ssh 自动封锁ip的问题
本帖最后由 qaw123232qaw 于 2023-10-8 09:48 编辑群晖开启了ssh登录
今早手机登录 DS file提示 ip登录尝试次数过多,被封锁, 然后到群晖的里事件查看发现今天早上2点左右 192.168.0.1(我的路由器)尝试10次 ssh登录被封锁,现在网络拓扑结构是光猫(拨号,路由192.168.1.1) -> DMZ到 ->openwrt (192.168.0.1 路由)-> 端口转发到 群晖nas
奇怪的是192.168.0.1被封锁, 但是公网 web登录访问群晖是没问题的 ,更奇怪的是 192.168.0.1 怎么会被封锁了呢? 外部访问通过端口转发的话, 源ip应该是不变的吧? 难道这个openwrt 主动连接的? openwrt也是最近才装的,用别人编译好的,留有后门?
现在从封锁列表里拿掉192.168.0.1 ds file能访问了, 总觉得有个隐患是不是在这里? 就你这拓扑,如果没映射22出去,外面怎么可能从SSH访问你群晖?
我不理解。
如果你主动把22映射到公网,那这行为我就更不理解了。 本帖最后由 qaw123232qaw 于 2023-10-8 10:31 编辑
lsy174915864 发表于 2023-10-8 10:06
就你这拓扑,如果没映射22出去,外面怎么可能从SSH访问你群晖?
我不理解。
公网 50022 -> 22,
ssh 22登录导致192.168.0.1被封, 但是很奇怪,为什么ds file公网访问时,会是这个ip呢? 我web登录和 ds file配置的是相同的域名和端口,前者可以访问,后者不行 被外网扫描了呗,看到有SSH协议就跟屎壳郎看到粪球一样,拼命的尝试登陆 dcl2009 发表于 2023-10-8 10:30
被外网扫描了呗,看到有SSH协议就跟屎壳郎看到粪球一样,拼命的尝试登陆
外网扫描显示的应该是外网ip吧? 本帖最后由 dcl2009 于 2023-10-8 10:37 编辑
qaw123232qaw 发表于 2023-10-8 10:32
外网扫描显示的应该是外网ip吧?
看错了,看转发规则,大部分就是网关的IP,没问题 dcl2009 发表于 2023-10-8 10:35
看错了,看转发规则,大部分就是网关的IP,没问题
这不太对, 我web登录nas, 还有其他服务 gitlab什么的, 都是ok的, 如果都是网关192.168.0.1, 那都不能用了, 只有ds file比较奇怪 后半段没有问题 web访问是自动配置路由转发 看起来像是你的固件里有shit
dmz本身也不是太安全的方式 本帖最后由 qaw123232qaw 于 2023-10-8 10:53 编辑
YsHaNg 发表于 2023-10-8 10:43
后半段没有问题 web访问是自动配置路由转发 看起来像是你的固件里有shit
dmz本身也不是太安全的方式 ...
是的,web访问也是配的端口转发
现在是光猫dmz到 openwrt,openwrt dhcp 内网接各个设备, 公网访问设备全部是通过端口转发
关于安全问题,也是我的顾虑, 相当于openwrt暴露在公网了,不知道它的防火墙够不够安全 我的规则是一分钟内两次尝试登录失败就封ip,10位数密码大小写+符号,除非对方拿到我明文写在我nas标签上的密码,恐怕是没有人2次登录就能进去 卡西 发表于 2023-10-8 10:53
我的规则是一分钟内两次尝试登录失败就封ip,10位数密码大小写+符号,除非对方拿到我明文写在我nas标签上的 ...
现在不是规则问题, 按默认规则 已经封了我这个网关的ip, 为什么只有 ds file不能访问,其他的就可以
我公网ssh登录内网的其他一台电脑,登录ip显示的确实是网关ip(192.168.0.1),可能端口转发后目标机那边看到就是网关的,不是实际源ip, 所以就更疑惑了,nas封了网关,那网关转发的nas的所有请求都会不通吧? 又一个开DMZ的勇士,勒索病毒会教你做人[偷笑] pp0pp 发表于 2023-10-8 11:18
又一个开DMZ的勇士,勒索病毒会教你做人
大侠指教一个靠谱的方案吧
如果openwrt不靠谱的话, 那电信光猫靠谱吗?
电信光猫 -> 端口转发->openwrt ->端口转发-> 内网设备? 我知道做反代的话就会出现所有ip都显示是反代设备的ip,DMZ没用过。 后门可能性不小,你dmz到你的openwrt,相当于直接暴露你的openwrt到公网了,用的还是别人编译的版本。。。 本帖最后由 衰败灼烧 于 2023-10-8 13:44 编辑
群晖的上一级路由做端口转发就可以了 不必DMZ路由 或者群晖本身就有设置路由的端口转发
DMZ指向路由是把路由下的设备都暴露了 除非你是在跑PCDN
还有SSH没事就关掉 用再打开 开ssh默认22端口不改还直接dmz出去心真大 衰败灼烧 发表于 2023-10-8 13:41
群晖的上一级路由做端口转发就可以了 不必DMZ路由 或者群晖本身就有设置路由的端口转发
DMZ指向路由是把路 ...
DMZ到路由器只是路由器暴露出去了, 下面设备都是端口转发的 Mashiro_plan_C 发表于 2023-10-8 14:19
开ssh默认22端口不改还直接dmz出去心真大
内网22端口, dmz到路由, 路由50022转发到22的 我又看了下以前的ip封锁记录, 都是显示原始ip的,不过之前用的是华硕ac66u-b1, 也是一样光猫dmz到这个路由器, 路由器里做端口转发的, 是不是openwrt端口转发要做什么规则的设定才能显示原始ip?
一般来说把端口映射出公网只需要做个目的nat就可以了,你这种情况是把源地址都nat了一遍,检查下规则是不是哪没对吧 Oscarice 发表于 2023-10-8 15:02
一般来说把端口映射出公网只需要做个目的nat就可以了,你这种情况是把源地址都nat了一遍,检查下规则是不是 ...
能具体说下哪里设置吗? 就是简单添加了个端口转发
qaw123232qaw 发表于 2023-10-8 15:56
能具体说下哪里设置吗? 就是简单添加了个端口转发
试试wan区域里把那个lan接口去掉? 本帖最后由 qaw123232qaw 于 2023-10-8 16:25 编辑
Oscarice 发表于 2023-10-8 16:05
试试wan区域里把那个lan接口去掉?
这个好像拿不掉呢 [无奈] 现在悲催了, 刚刚nas开了下 ssh, 又被封了,现在所有的服务都不能用了, web也不能登录了 qaw123232qaw 发表于 2023-10-8 16:20
这个好像拿不掉呢
看了下你的lan接口同时在wan和lan区域的好奇怪;除了这个之外,我的设置和你的是一样的,转发后的源地址并没有nat Oscarice 发表于 2023-10-8 19:43
看了下你的lan接口同时在wan和lan区域的好奇怪;除了这个之外,我的设置和你的是一样的,转发后的源地址 ...
你是对的, 拿掉后可以了, 但是我需要nat环回, 在内网用域名访问,必须得加上,否则访问不了 [流泪] qaw123232qaw 发表于 2023-10-9 22:06
你是对的, 拿掉后可以了, 但是我需要nat环回, 在内网用域名访问,必须得加上,否则访问不了 ...
最近装的Ikuai发现他端口转发自带NAT回流 都不用设置 qaw123232qaw 发表于 2023-10-9 22:06
你是对的, 拿掉后可以了, 但是我需要nat环回, 在内网用域名访问,必须得加上,否则访问不了 ...
我用l大的op是有独立的nat回流开关的,或者试试用iptables实现吧 Oscarice 发表于 2023-10-9 23:14
我用l大的op是有独立的nat回流开关的,或者试试用iptables实现吧
回流开关能不能截个图看看?
页:
[1]
2