这是一个创建于 526 天前的主题,其中的信息可能已经有所发展或是发生改变。
坐标成都,周末搞了个双栈的家宽,目前用 openwrt+ddns+泛域名解析+nginx 代理了一些家里的服务(主要是 nas 相关的),以便在外网使用,对外只暴露了两个高位端口,套上了 https ;
rt:请问这样是否相对安全,还有什么需求注意的, 以及如何预防被封宽带或者被攻击
 | 1 rqYzyAced2NbD8fw 2024-06-17 09:36:25 +08:00 不要跑大流量,不要 PCDN ,把你的 http(s) 端口关掉换成 frp |
 | 2 MYlyc 2024-06-17 09:43:58 +08:00 CF 的 tunnels |
 | 3 yyzh 2024-06-17 09:45:19 +08:00 via Android  1 坐等关停写保证书 |
 | 4 miniliuke 2024-06-17 09:46:32 +08:00 自用的话,我 http 的服务都好几年没人管 |
 | 5 dhuzbb 2024-06-17 09:54:58 +08:00 3 记住一个道理,永远不要对外暴露家里的任何 web 服务。 比较安全的方案是自建 wireguard 这种方案,一行 docker 命令即可,wg-easy 带有图形化的管理界面。 在安全性方面,只需要在路由器层面开放一个 wireguard 的 udp 端口号即可。 带来的好处很多: 1 是速度快,有公网 IP 是直连的。比任何商用服务的速度都快得多,当然取决于你家里宽带的上传速度。 2 完全开源免费,支持多平台。 3 一键直连家里内网,访问习惯不需要做出任何改变,和在家里一样。 |
 | 6 suitts 2024-06-17 10:03:49 +08:00 如果只有自己用的话 建议用 vpn 接入,比如楼上说的 wireguard |
 | 7 hexo 2024-06-17 10:06:05 +08:00 只暴露 vpn 端口是比较安全的,缺点是手机和电脑要先连接 vpn 再访问服务,自己还好,如果有家人要访问的话麻烦点 |
 | 8 DoubleKing OP @miniliuke 我 ip6 跑了两年了 |
| 9 DoubleKing OP @LanhuaMa 之前一直有 ipv6 在跑 pt ,跑了一两年,还算稳定 |
| 10 DoubleKing OP @yyzh 可怕 |
| 11 DoubleKing OP @smartruid 主要是我和我对象使用 |
 | 13 v1 2024-06-17 12:31:20 +08:00 2 n 年前问过电信区域经理,ddns 域名不一定备案,只要不包含关键词即可。你对外的所有 web 只要加上权限控制(登录系统)就行了,只要不能直接任意访问,就不算对外公开。开 web 被关停的都是挂了不合规的东西或者允许任意公共访问,每一个都嘴硬。规定看不懂,变通也不会。我电信公网 ip 对外 git8443 ( 4 年),群晖 5000 ( 6 年),海康 NVR8080 ( 10 年),家人在用,git 甚至给朋友们( 20+人)一起用,都没问题。 |
 | 14 caola 2024-06-17 12:44:13 +08:00 对外开放 web 的访问真是心大,我现在都不敢直接了, 而是只做为 web api 和 文件服务器 对外开放,但是必须验证 token (其实就简单的验证一个加密后的时间参数,误差 5 分钟内的都放行),要是验证不通过连 404 都不返回了,改为直接 TCP RST 强行中断连接。 |
 | 15 agostop 2024-06-17 12:50:41 +08:00 via Android 对外只暴露了两个高位端口 ----------- 你是如何保证只暴露了这两个端口? |
| 16 agostop 2024-06-17 12:52:29 +08:00 via Android 如果可以确定只是暴露了这两个端口,那可以想办法在这两个端口上做一些安全措施也行,但是要安全的话,还是得用 vpn ,相对成本小,安全保障更高 |
 | 17 villivateur 2024-06-17 12:55:42 +08:00 不要开 http 类协议,就算高端口也一样,运营商并不是检测你的端口,而是检测协议类型 |
| 18 Wy4q3489O1z996QO 2024-06-17 13:02:46 +08:00 |
 | 19 xR13zp0h67njQr2S 2024-06-17 16:12:00 +08:00 我开了个 openwrt 和 bitwarden ,有别的需求的时候设置 openwrt 防火墙,暂时没什么问题 |
 | 20 thereone 2024-06-17 16:29:45 +08:00 和你一样用 nginx 反代,防护做了一点把 nginx 的默认访问改成返回 444 ,比如 https://xxxx.com:12345 这样能直接进入页面的改成 https://xxxx.com:12345 访问就返回 444 直接中断连接这样就只知道开放了端口不知道跑的什么东西。把要访问的修改成二级目录 https://xxxx.com:12345/qunhui 这种才能进入的同时也可以再加个简单的页面认证,这样基本就不会让人扫描出来了,扫描端口就直接给你返回 444 的连接了。可以探测到的就是你在这个端口跑了一个 nginx 服务但是用 https 是不知道你里面的路径的,一定不能用 http 传输数据就是了。 |
| 21 thereone 2024-06-17 17:09:49 +08:00 @thereone 最终达成的效果就是访问 https://x.x.x.x:12345 IP 地址加端口 返回 444 关闭连接不让访问 https://x.x.x.x:12345/qunhui IP 地址加端口加正确的目录 返回 444 关闭连接不让访问 https://xxxx.com:12345 域名加端口 返回 444 关闭连接不让访问 https://xxxx.com:12345/qunhui 域名加端口加正确路径 正常访问 达到以上效果基本就可以了对于普通人防护基本没有问题,再加强的就是不用 nginx 做反代而是内网部署一个开源 waf 用 waf 来做反代同时上一个免费防火墙针对端口扫描之类的也做防护,同时在出口路由器限制可以访问的 ip 地址基本就可以避免绝大部的扫描探测还有攻击了。最后就是勤加更新软件防止漏洞攻击。 |
| 22 DoubleKing OP @78786381 我也想装一个 bitwarden |
| 23 DoubleKing OP @agostop #16 ipv4 不知道我现在的方案安不安,之前只有 ipv6 ,相同的方案 |
| 24 DoubleKing OP @thereone #20 我现在是必须 https://xxx.域名:端口才能访问,如果不是 https 或者端口不对,,或者 xxx 没有,直接就是 400 或者错误, |
| 25 thereone 2024-06-17 17:31:15 +08:00 @DoubleKing 不要返回 400 的错误返回 400 的错误代表你这里有一个能显示页面的网站,用 444 直接就是关闭连接访问不正确直接关闭连接,浏览器会直接显示无法访问此页面这样才是最好的,只有正确的访问才会显示页面。 |
 | 26 AndreasG 2024-06-19 14:25:34 +08:00 @dhuzbb 如果要开 bt 下载需要开放 16881 6881 端口么,我现在家里的宽带开了这两个也开了群晖的 5000 ,还开了 sftp 和 webdav 端口,还有一个游戏的端口,而且没 https ,最近在考虑如何削减开放的端口,目前家里宽带是用 tplink 自带的 ddns ,几块钱买了个域名二次解析到了 ddns 的域名上,老哥有没有啥方案 |
 | 27 misaka00251 2024-06-19 22:58:14 +08:00 我开过 Wireguard 结果被运营商 UDP QoS 了…… |
Select Language