NAS有了公网IP后，请教大佬们，如何注重网络防护？

zdiljx

LZ可以自建一个Rustdesk服务端，启用密匙+密码连接，应该比改账户名密码要安全的多

xsdianeht

drop所有外省IP就行了，主要还是防脚本扫

james_join

建议专业工具，公网端口运气不好会喝茶

ian4203

上白名单，用的时候先远程工具回去把自己外面的ip加白

liukang1985

上海电信ADSL PPPOE的IPV4公网地址对吧。docker会装吗？会的话比较简单，直接阿里或者腾讯买个最便宜的域名，用docker跑DDNS的脚本，这个docker hub上一堆，你可以自己搜下。然后windows上装个wireguard，端口只开wireguard对应的，外部连接进来全走wireguard代理。wireguard配置网上也一大把。
如果不想花钱，就要有点shell或者编程之类的基本知识，直接把拨号获得的IP地址发到邮箱，然后每次远程访问就直接用IPV4的地址来搞。
关键是开代理，用强安全性的代理来加密整个链路中的公网部分，千万不要把其他任何具体服务的端口开放到公网，那是作死，最多留个用来检测连通性的类似heartbeat的简单服务之类的，哪怕这种最好也是用docker启动来实现隔离。

liukang1985

顺便，弄不来的话可以考虑整个比较新款的华硕路由当主路由，貌似自带wireguard+DDNS。

xthyxun

liukang1985 发表于 2024-8-5 20:20
上海电信ADSL PPPOE的IPV4公网地址对吧。docker会装吗？会的话比较简单，直接阿里或者腾讯买个最便宜的域名 ...

谢谢，已经买了阿里域名，用ddnsgo解析。 好的， 学习下wireguard软件

xthyxun

gaoyi124 发表于 2024-8-5 16:44
你不会是把mstsc端口转发了吧,这非常恐怖

不懂这个。只转发了3个端口，1个RDP的，1个webdav，还有1个端口用于访问nascab这个软件。 是不是，其他没有转发的端口不会被攻击呢？比如SSH的22端口

xthyxun

chainofhonor 发表于 2024-8-5 16:37
防火墙设置严格点,只放行自己需要用到的端口

另外把一些默认端口都改掉 3389 22这些 ...

只转发了3个端口，1个RDP的，1个webdav，还有1个端口用于访问nascab这个软件。
请问，是不是没有端口转发的内网端口不会被攻击呢？比如内网的22端口。

xthyxun

gbawrc 发表于 2024-8-5 16:53
骗你的，运营商经常偷偷回收公网IPV4

是啊。一直学习到的就是公网IPv4短缺，现在一般给IPv6。然后电信师傅和10000号客服都说，公网只有IPv4，没有IPv6，还很爽快的给了。

lukeliu123

虚拟机=宝塔面板=自定义域名=反向代理

ip禁止访问，只允许域名访问就行了。其实这也是nas最基本的设置。

yoyofuture

配个智能插座，要用的时候开机，不用的时候关机，备份好资料，安全省事。

zjlulutong

你别把端口映射出去，最安全，运营商一般都封闭了一些敏感端口，要么就软路由带防火墙，硬路由就看厂家的实力了，有些还自带后门呢。或者就直接上物理防火墙。
我以前单位(国企占股)用的TP的企业路由，因为敏感时期，就被运营商(广电)扫出来一些莫名其妙开放的端口，通知我们解决，然后联系TP的技术，把这几个端口告诉他，他检查过后，就给了一版固件，更新完，那些莫名其妙的端口都关闭了。我怀疑是TP用来远程的。

need4speed

我的下载机远程桌面端口映射出去之后已经中了两次勒索病毒了，不知道他们怎么操作的。但是NAS没有被搞过

我把域名端口密码都改了，再看看还会不会被黑

qi1980

yoyofuture 发表于 2024-8-5 20:56
配个智能插座，要用的时候开机，不用的时候关机，备份好资料，安全省事。 ...

别提馊主意啊！哪有用智能插座断电NAS的，你这是嫌硬盘死得不够快？智能插座是给非智能设备通断电用的，比如风扇之类的东西，NAS都有自己的APP可以远程控制！

housecall

1.加个硬件防火墙吧，现在二手的真不贵
2.未 批 恩回家吧，相对安全很多

姑苏城外桃花开

上防火墙 我现在用的公司搬家被我顺走的防火墙 当初公司1W买的

jihuan

把群晖放在nat里，就一个的https端口映射到公网高位端口，IP用DNSPOD解析，这样安全吗？哪个大佬给评判下，之前裸奔中过一次勒索

xizi

同魔都，dmz 到软路由上，开放 **，推荐 wireguard ，直接 ** 回家。

fakecnc

自建V*N，密码+密钥，路由器上只开放对应端口。用起来稍微麻烦一点，胜在安全。
还有就是重要数据多备份吧，防范于未然

7hfi0bu6

xthyxun 发表于 2024-8-5 20:49
只转发了3个端口，1个RDP的，1个webdav，还有1个端口用于访问nascab这个软件。
请问，是不是没有端口转 ...

没有转发的内网端口自然不会受到攻击。
不过尽量避免把3389这类可以远程控制的端口直接映射出去。
实在有不得已的情况确实需要，在外网侧改一个高位端口。如55589—>3389
连接时带端口号连接。如：xxx.xxx.xxx.xxx:55589

qjj2857

7hfi0bu6 发表于 2024-8-6 17:17
没有转发的内网端口自然不会受到攻击。
不过尽量避免把3389这类可以远程控制的端口直接映射出去。
实在有 ...

不行的，一样会有尝试登录的记录

yoyofuture

qi1980 发表于 2024-8-6 09:44
别提馊主意啊！哪有用智能插座断电NAS的，你这是嫌硬盘死得不够快？智能插座是给非智能设备通断电用的， ...

nas都是可以通电就启动的，智能插座是开机用的，关机的时候你先远程app关闭nas，然后再关闭智能插座，硬盘不会影响的。

tenll

windows比较危险，我一个亲戚，有一个库存软件跑在win7上，由于ddns都不能用后，改成了公网，稳定用了大半年，结果被勒索病毒勒索了，所有档案全部被锁。

xthyxun

7hfi0bu6 发表于 2024-8-6 17:17
没有转发的内网端口自然不会受到攻击。
不过尽量避免把3389这类可以远程控制的端口直接映射出去。
实在有 ...

谢谢大佬。我的确是这么做的。把3389转发成高位端口，RDP时都是带端口号的

xthyxun

xizi 发表于 2024-8-6 13:46
同魔都，dmz 到软路由上，开放 **，推荐 wireguard ，直接 ** 回家。

不敢DMZ。 听各位大佬意见，准备学习下wireguard及类似

7hfi0bu6

qjj2857 发表于 2024-8-6 19:03
不行的，一样会有尝试登录的记录

这个没办法的，只要你暴露在公网上，攻击尝试那肯定是避免不了的，只能通过这些办法适当缓解下压力和降低被攻破的几率。
并不存在完全杜绝这个说法。

7hfi0bu6

tenll 发表于 2024-8-6 20:41
windows比较危险，我一个亲戚，有一个库存软件跑在win7上，由于ddns都不能用后，改成了公网，稳定用了大半 ...

为啥不备份呢？
数据安全从来都是备份，备份，备份备份的备份。

听弦

搞个低功耗小主机，物理机istoreos装上做旁路网关，里面可以图形化安装wireguard，然后只要在拨号的光猫上转发wireguard这一个端口就行了。wireguard超简单的，我跟你一样20年diy，没有linux基础，就是百度跟谷歌了一两个小时就设置成功了。

听弦

而且，ddns也是图形化设置，简单的很。