请教一个群晖 ssh 自动封锁ip的问题

qaw123232qaw

群晖开启了ssh登录
今早手机登录 DS file提示 ip登录尝试次数过多，被封锁， 然后到群晖的里事件查看发现今天早上2点左右 192.168.0.1（我的路由器）尝试10次 ssh登录被封锁，  现在网络拓扑结构是  光猫（拨号，路由192.168.1.1） -> DMZ到 ->openwrt (192.168.0.1 路由)  -> 端口转发到 群晖nas

奇怪的是192.168.0.1被封锁， 但是公网 web登录访问群晖是没问题的 ，  更奇怪的是 192.168.0.1 怎么会被封锁了呢？ 外部访问通过端口转发的话， 源ip应该是不变的吧？ 难道这个openwrt 主动连接的？   openwrt也是最近才装的，用别人编译好的，留有后门？

现在从封锁列表里拿掉192.168.0.1 ds file能访问了， 总觉得有个隐患是不是在这里？

lsy174915864

就你这拓扑，如果没映射22出去，外面怎么可能从SSH访问你群晖？

我不理解。

如果你主动把22映射到公网，那这行为我就更不理解了。

qaw123232qaw

lsy174915864 发表于 2023-10-8 10:06
就你这拓扑，如果没映射22出去，外面怎么可能从SSH访问你群晖？

我不理解。

公网 50022 -> 22，

ssh 22登录导致192.168.0.1被封， 但是很奇怪，为什么ds file公网访问时，会是这个ip呢？ 我web登录和 ds file配置的是相同的域名和端口，前者可以访问，后者不行

dcl2009

被外网扫描了呗，看到有SSH协议就跟屎壳郎看到粪球一样，拼命的尝试登陆

qaw123232qaw

dcl2009 发表于 2023-10-8 10:30
被外网扫描了呗，看到有SSH协议就跟屎壳郎看到粪球一样，拼命的尝试登陆

外网扫描显示的应该是外网ip吧？

dcl2009

qaw123232qaw 发表于 2023-10-8 10:32
外网扫描显示的应该是外网ip吧？

看错了，看转发规则，大部分就是网关的IP，没问题

qaw123232qaw

dcl2009 发表于 2023-10-8 10:35
看错了，看转发规则，大部分就是网关的IP，没问题

这不太对， 我web登录nas， 还有其他服务 gitlab什么的， 都是ok的， 如果都是网关192.168.0.1， 那都不能用了， 只有ds file比较奇怪

YsHaNg

后半段没有问题 web访问是自动配置路由转发 看起来像是你的固件里有shit
dmz本身也不是太安全的方式

qaw123232qaw

YsHaNg 发表于 2023-10-8 10:43
后半段没有问题 web访问是自动配置路由转发 看起来像是你的固件里有shit
dmz本身也不是太安全的方式 ...

是的，web访问也是配的端口转发
现在是光猫dmz到 openwrt,  openwrt dhcp 内网接各个设备， 公网访问设备全部是通过端口转发
关于安全问题，也是我的顾虑， 相当于openwrt暴露在公网了，不知道它的防火墙够不够安全

卡西

我的规则是一分钟内两次尝试登录失败就封ip，10位数密码大小写+符号，除非对方拿到我明文写在我nas标签上的密码，恐怕是没有人2次登录就能进去

qaw123232qaw

卡西 发表于 2023-10-8 10:53
我的规则是一分钟内两次尝试登录失败就封ip，10位数密码大小写+符号，除非对方拿到我明文写在我nas标签上的 ...

现在不是规则问题， 按默认规则 已经封了我这个网关的ip, 为什么只有 ds file不能访问，其他的就可以
我公网ssh登录内网的其他一台电脑，登录ip显示的确实是网关ip(192.168.0.1),  可能端口转发后目标机那边看到就是网关的，不是实际源ip， 所以就更疑惑了，nas封了网关，那网关转发的nas的所有请求都会不通吧？

pp0pp

又一个开DMZ的勇士，勒索病毒会教你做人

qaw123232qaw

pp0pp 发表于 2023-10-8 11:18
又一个开DMZ的勇士，勒索病毒会教你做人

大侠指教一个靠谱的方案吧
如果openwrt不靠谱的话， 那电信光猫靠谱吗？
电信光猫 -> 端口转发->openwrt ->端口转发-> 内网设备？

highchh

我知道做反代的话就会出现所有ip都显示是反代设备的ip，DMZ没用过。

xukai_286

后门可能性不小，你dmz到你的openwrt，相当于直接暴露你的openwrt到公网了，用的还是别人编译的版本。。。

衰败灼烧

群晖的上一级路由做端口转发就可以了 不必DMZ路由 或者群晖本身就有设置路由的端口转发
DMZ指向路由是把路由下的设备都暴露了 除非你是在跑PCDN
还有SSH没事就关掉 用再打开

Mashiro_plan_C

开ssh默认22端口不改还直接dmz出去心真大

qaw123232qaw

衰败灼烧 发表于 2023-10-8 13:41
群晖的上一级路由做端口转发就可以了 不必DMZ路由 或者群晖本身就有设置路由的端口转发
DMZ指向路由是把路 ...

DMZ到路由器只是路由器暴露出去了， 下面设备都是端口转发的

qaw123232qaw

Mashiro_plan_C 发表于 2023-10-8 14:19
开ssh默认22端口不改还直接dmz出去心真大

内网22端口， dmz到路由， 路由50022转发到22的

qaw123232qaw

我又看了下以前的ip封锁记录， 都是显示原始ip的，不过之前用的是华硕ac66u-b1, 也是一样光猫dmz到这个路由器， 路由器里做端口转发的， 是不是openwrt端口转发要做什么规则的设定才能显示原始ip？

Oscarice

一般来说把端口映射出公网只需要做个目的nat就可以了，你这种情况是把源地址都nat了一遍，检查下规则是不是哪没对吧

qaw123232qaw

Oscarice 发表于 2023-10-8 15:02
一般来说把端口映射出公网只需要做个目的nat就可以了，你这种情况是把源地址都nat了一遍，检查下规则是不是 ...

能具体说下哪里设置吗？ 就是简单添加了个端口转发

Oscarice

qaw123232qaw 发表于 2023-10-8 15:56
能具体说下哪里设置吗？ 就是简单添加了个端口转发

试试wan区域里把那个lan接口去掉？

qaw123232qaw

Oscarice 发表于 2023-10-8 16:05
试试wan区域里把那个lan接口去掉？

这个好像拿不掉呢

qaw123232qaw

现在悲催了， 刚刚nas开了下 ssh， 又被封了，现在所有的服务都不能用了， web也不能登录了

Oscarice

qaw123232qaw 发表于 2023-10-8 16:20
这个好像拿不掉呢

看了下你的lan接口同时在wan和lan区域的好奇怪；除了这个之外，我的设置和你的是一样的，转发后的源地址并没有nat

qaw123232qaw

Oscarice 发表于 2023-10-8 19:43
看了下你的lan接口同时在wan和lan区域的好奇怪；除了这个之外，我的设置和你的是一样的，转发后的源地址 ...

你是对的， 拿掉后可以了， 但是我需要nat环回， 在内网用域名访问，必须得加上，否则访问不了

衰败灼烧

qaw123232qaw 发表于 2023-10-9 22:06
你是对的， 拿掉后可以了， 但是我需要nat环回， 在内网用域名访问，必须得加上，否则访问不了   ...

最近装的Ikuai发现他端口转发自带NAT回流 都不用设置

Oscarice

qaw123232qaw 发表于 2023-10-9 22:06
你是对的， 拿掉后可以了， 但是我需要nat环回， 在内网用域名访问，必须得加上，否则访问不了   ...

我用l大的op是有独立的nat回流开关的，或者试试用iptables实现吧

funison

Oscarice 发表于 2023-10-9 23:14
我用l大的op是有独立的nat回流开关的，或者试试用iptables实现吧

回流开关能不能截个图看看？