NAS有了公网IP后，请教大佬们，如何注重网络防护？

xthyxun · 发表于 2024-8-9 08:40

听弦发表于 2024-8-8 20:23
搞个低功耗小主机，物理机istoreos装上做旁路网关，里面可以图形化安装wireguard，然后只要在拨号的光猫上 ...

谢谢大佬。闲置硬件倒也是有。但为啥不弄虚拟机安装？不够稳定吗？

大兔子君 · 发表于 2024-8-9 09:47

把3389映射关了，通过**驳回去，直接内网操作。

open**推送路由，拨号之后，本地自动路由网段通过**客户端出去，一切都跟在家里一样。

大兔子君 · 发表于 2024-8-9 09:47

大兔子君发表于 2024-8-9 09:47
把3389映射关了，通过**驳回去，直接内网操作。

open**推送路由，拨号之后，本地自动路由网段通过**客户端 ...

**=v-p-n

dxh216 · 发表于 2024-8-9 09:52

内网主机躲在nat后面一般情况是攻击不到内网主机的，但是用端口映射的方式暴露在公网肯定被攻击。无论是linux，bsd，还是windows。如果只是你自己用，直接套个虚拟网络工具，比如wireguard。另外家宽是不允许http的，如果被运营商扫描到会很麻烦的。

buxiang110 · 发表于 2024-8-9 09:54

hadis_zero 发表于 2024-8-5 15:53
没那么严重吧, 我WIN NAS暴露在公网七八年了, 没被攻击过

运气真不错。我这里每天都要有1k多次的攻击，不过我把所有端口都关了。

飞翔 · 发表于 2024-8-9 12:59

怎么可能呢？我公网IPV4/V6双栈，也是光猫拨号，后面接路由器，再接服务器和电脑的。
策略：
1. 光猫：现在SDN也没啥好设置的，直接设置dmz到路由器
2.路由器：openwrt自带防火墙，设置端口映射和端口转发。
ipv4的：端口映射，默认其他端口关闭。全部改为非标端口（正常80/443/8080也没用，电信不开）
ipv6的：设置转发

3.后面还有一台群晖服务器
基本没啥问题

飞翔 · 发表于 2024-8-9 13:01

lukeliu123 发表于 2024-8-5 20:55
虚拟机=宝塔面板=自定义域名=反向代理

ip禁止访问，只允许域名访问就行了。其实这也是nas最基本的设置。 ...

怎么禁用ip直接访问？

飞翔 · 发表于 2024-8-9 13:29

wireguard需要安装客户端虽然安全了，但是不方便啊，什么终端都安装，太麻烦了。

m1ngh · 发表于 2024-8-9 19:34

买我的飞塔60e-poe

听弦 · 发表于 2024-8-11 21:22

xthyxun 发表于 2024-8-9 08:40
谢谢大佬。闲置硬件倒也是有。但为啥不弄虚拟机安装？不够稳定吗？

虚拟机也可以啊。

vivin7 · 发表于 2024-8-13 01:46

ddns然后用反代，二级域名，只开放一个端口即可。

niqian6666163 · 发表于 2024-8-13 06:33

hadis_zero 发表于 2024-8-5 15:53
没那么严重吧, 我WIN NAS暴露在公网七八年了, 没被攻击过

普通用户人家搞你好像也没啥意思来着。。。。

qi1980 · 发表于 2024-8-13 09:50

我的是群晖NAS，暴露公网将近1年后，会有人尝试从世界各地的IP试图访问我的NAS的默认5001端口。当然了，猜不到用户名密码也登不进来，只是留下了安全报警。然后我把路由器上的5001默认端口改掉了（NAS上还是5001端口，只是映射到公网的其他端口了），然后就清净了，再也没有接到非法登录的告警。所以我的建议是，暴露在公网不可怕，只要保证2点：1、把映射到公网的默认端口改掉；2、禁用默认的admin、root之类的用户名，创建一个新的管理员用户名，然后设置一个强密码。只要做到这2点，作为普通人家，是没啥好怕的！

hlc1134 · 发表于 2024-8-13 09:50

不知道反代安全吗
我现在用zerotier走3389，暂时安全。
但最近想搞个jellyfin到公网

雨季不再来 · 发表于 2024-8-13 10:21

chainofhonor 发表于 2024-8-5 16:37
防火墙设置严格点,只放行自己需要用到的端口

另外把一些默认端口都改掉 3389 22这些 ...

改端口没用的，绝大多数人是利用windows漏洞的

雨季不再来 · 发表于 2024-8-13 10:21

coffeetion 发表于 2024-8-5 18:36
我也是公网+WIN NAS
改了3389和445端口，平时关闭端口转发，需要用的时候临时进路由开 ...

这个…。人不在家怎么办呢？

秋天的石头 · 发表于 2024-8-13 11:36

配个智能插座，然后搞个交换机接到这个插座上，NAS通过这个交换机连接外网，用的时候打开交换机，用完就关

johnash · 发表于 2024-8-13 11:37

你公网用windows远程桌面？你的windows迟早被爆破

tanta · 发表于 2024-8-13 14:14

路由器设置：1、禁止所有国外ip的入站请求；2、关闭3389等端口。3、V*N

amenamen · 发表于 2024-8-13 14:30

这么多年下来稳定的方式只有**，借助虚拟专用通道屏蔽常见攻击即可
而且这方案我认为代价很小啊。。。就一个**路由器就行了，十几年前一千五？还带防火墙，就当买杀毒了。。。

rwindz · 发表于 2024-8-13 14:49

外网用windows的真是心大

寒风凛冽 · 发表于 2024-8-13 15:44

习惯就好，我开了公网以后，黑裙每天几百条扫描警报，咋整？随它呗，重要资料另放。

xuemingxia · 发表于 2024-8-13 17:34

asa5500-x装起来

coffeetion · 发表于 2024-8-17 14:33

雨季不再来发表于 2024-8-13 10:21
这个…。人不在家怎么办呢？

远程开关机和远程进路由很容易做到啊

sw_yp · 发表于 2024-8-23 10:50

我都是DDNS+** 连接回家使用

hwqdyx · 发表于 2024-8-23 11:36

固定ip+群晖会有这样的问题吗？

hzs1212 · 发表于 2024-8-27 23:14

装个wireguard挺好的，只需映射一个端口

xyiqq · 发表于 2024-8-30 08:29

大白兔女乃子发表于 2024-8-5 17:08
给个IP，让兄弟们试试

你看看你也知道需要ip

bxhaai · 发表于 2024-8-30 09:25

一般就是不要用默认端口，也不要用默认账号密码，密码改的长点，有条件的加点特殊字符

大白兔女乃子 · 发表于 2024-8-30 13:47

xyiqq 发表于 2024-8-30 08:29
你看看你也知道需要ip

最好的黑客都是内部口令直接登录进去的

账号		自动登录	找回密码
密码			加入我们

[NAS] NAS有了公网IP后，请教大佬们，如何注重网络防护？

浏览过的版块