yinmin

@gpt5 #6 我把家里所有的 LoT 设备都接到 guest wifi ，就是不放心 LoT 安全性。guest wifi 是内网隔离的，LoT 只能连网关，连不上 guest 网络上的其他设备，防止渗透。

@jocover #18 nas 上建一个带密码的 vhdx 文件，写 2 个脚本：在本地计算机自动挂接 nas 上的 vhdx 、断开 nas 上的 vhdx ，即安全又方便。

接#19 ， 如果 fnos 的 https 服务能校验 sni ，并直接挂断"无 sni/sni 不正确"的连接，黑客也不可能这么肆无忌惮的随意攻击。

家庭/小公司的公网 ip 开放服务，有几个安全技巧推荐：

(1) 屏蔽无 sni 的 tls( https)连接。黑客盲扫是不知道你域名(sni)的，这条简单规则直接防 99.9%的黑客盲扫攻击。推荐前置 nginx ，配置 stream 模块的 map $ssl_preread_server_name ，并且不设 default 项，如果黑客发起无 sni 链接，nginx 会直接挂断 tcp 。(有个坑：如果设置不对，黑客发起无 sni 的 tls 请求后，服务器会发送证书，证书里有域名；服务器要直接挂断 tcp 不能返回证书)

(2) 对于管理平台等私有 https 网站，启用双向证书认证 mtls 。浏览器导入客户端证书后，使用起来超方便。windows 、mac 、ios 、android 浏览器都支持客户端证书认证的。推荐前置 nginx 或者 stunnel ，没有客户端证书，根本到不了后端服务。

(3) ssh over tls 。通常 ssh 仅密钥登录/关闭密码登录后是足够安全的，如果希望混淆 ssh ，或者进一步提升安全性，可以前置 nginx ，对 ssh 进行 tls 包裹。在.ssh/config 里配置 ProxyCommand 参数后，ssh 操作和原来基本一样。

(4) 公网只暴露 ssh 、tls(屏蔽"无 sni"连接)、vpn ，其他端口一律不要暴露。

抛砖引玉~~~

@xyz3210 #5 你需要一个新加坡或者香港的线路。

关于招行信用卡网络问题，其实很好解决的：你到 trip.com 上查找“美国 esim”关键词，然后看 esim 资料里 apn 是 cmlink 或者 mobile.three.com.hk 的 esim 套餐，都是香港 ip 访问很快的，总量 10GB/30 天只要 6 刀左右

周一开始,好像是电信到美国的线路有问题,移动/联通到美国的线路好像还行. 你 ping 移动/联通的 ip 试试

私钥文件是可以加密码保护的

nginx 可以换一个思路保护:
(1) 必须域名访问: stream 模块里加 map $ssl_preread_server_name,不要设置 default 。如果黑客不知道 SNI,nginx 会直接挂断 TCP 连接,不会进行 TLS 协商
(2) 启用双向证书(mTLS)保护: HTTPS 网站在 nginx 里启用客户端证书认证,如果没有客户端证书 nginx 就无法建立 tls 连接,保护后端业务。windows 、macos 、ios 、android 的浏览器都是原厂支持客户端证书的

实施以上 2 条后,可以不用禁止国外 ip

整理照片