公网映射 NAS，如何保证安全

放 VPN 内

或者

TLS/SSL 双向证书验证，产品如果不支持可以套 nginx 实现

ddns + wireguard

frp 不行吗？

VPN 的方案，我知道很安全，不过如果能让家人无感的访问就更好了，这也是我发帖的原因

高端口+nginx444 返回非目标 sni/路径+log 配合 fail2ban ban 非法尝试的 ip ，uuid 作为密码。

我是用 FRP ，做好安全加固就行，密码好复杂度，FRP 服务端所在 vps 选境内离你近的，vps 也同样做好安全加固，仅放开需要用的端口，nginx 反向代理，NPM 设置对于 NAS 的服务，根据敏感程度，酌情进行白名单 ip 配置

我用的群晖的，直接开放 5001 https 端口，用了 6 、7 年了吧，然后安全策略是外网一次登录失败直接锁 IP 。正常情况下没问题的，偶尔会被肉鸡攻击就会看到一堆外国 IP 被锁的通知，过一两天就消停了。至少目前看来安全的

不过你既然有动态 ip ，配合 ddns ，套个 Nginx 就行#6 方案是 有没有公网 ip 都行。反正我打洞就是一直不成功…

我是群晖，目前是动态公网 IP+DDNS+高位端口+HTTPS （腾讯云免费证书）+强密码（密码管理器生成的）
也想过采用 vpn 方案，但这样家人就没法在外面方便地访问 Synology Photots 了。目前的方案我觉得还可以，没有什么被攻破的迹象。
不过绿联我是信不过的，详见不到一年前的帖子：
t/1055235

最安全的就是 VPN ，wireguard/tailscale/zerotier 一类。frp ，failban ，https 属于暂时没被攻破。白名单 IP 方案可以，几百位的复杂密码也可以

@xeathen 可以参照我之前写的文章。

套 VPN 虽然很安全，但和家人一起用很不方便，并且不能随时随地在任意设备使用，便利性方面牺牲很大。
分享一下我的防护思路，已经这样安全使用五六年了。
1 、自己使用的域名尽量不要暴露在公共论坛和聊天社区。
2 、必须上 HTTPS ，外网访问端口使用五位数高位端口。
3 、通过 Nginx 禁止非中国 IP 访问。Nginx 还有其他防护，比如禁止直接通过公网 IP 访问，必须是域名访问，而且如果是泛域名，必须输入正确子域名才能访问，其他非法访问直接返回 444 错误码。
4 、通过脚本每天自动更新并封禁威胁 IP ，这些威胁 IP 数据来源于公共社区，很多都是不停爆破攻击用户被报告了，提前封禁他们。
5 、尽量不使用来路不明的容器应用或者其他程序。
6 、最小化暴露原则，非必要的服务不暴露出去，比如系统管理、容器管理这些，很多时候都是我自己在使用，我直接用 VPN 了，但是对于群晖相册，Jellyfin 这些多人使用服务，才会公开在外网。

@xeathen 既要又要？

我在主路由爱快上直接限制只允许本省 IP 访问：

https://evine.win/p/ikuai-set-ipv4-acl/
https://evine.win/p/ikuai-set-ipv6-acl-2/

有公网 IP 了，最安全的方法就是 VPN 了，不过限制了些便利性。

防止运营商扫端口的话，最好放隔离内，用绳子跳回去。

群晖的防火墙可以设置地区授权，我就是设置了仅限国内和我的 VPS 的 IP 访问特定端口。
不过我还弄不明白 OpenWRT 要怎样设置 IP 集，因为我设置 IP 区域之后不生效。

套个 ss 怎么样

开个 xray 用 v2rayNG 连回去

NAT-虚拟服务器, 只映射使用中的端口

只开放反代端口就行，老生常谈的强密码+MFA 都整上，就不用操心了，其实某种程度上更应该操心的是你局域网的牛鬼蛇神

WireGuard 的安全是我即使公网可达，对方也无法发现我。比如我把我的 WireGuard 的公网 IP 和端口直接告诉你。除非我明确告诉你我的确在该端口，运行了 WireGuard 服务。否则你是无法感知的。即无法探测。

这是 WireGuard 基于 UDP 的优势，相对于 OpenVPN 、FRP 、NPS 等 TCP 方案的优势。

至于直接暴露服务，然后加个密码作为认证即安全的场景。这已不是同一个层面的讨论了。

坚决不上公网，利用组网回家或者利用 ss 打洞回家。

最后不要买 dxp4800 ，可以买 dxp4800plus 。

不暴露管理服务 仅转发应用

一直在使用群晖的自带的反向代理，然后防火墙禁止国外 ip ，暂时没事

cloudflare access 邮箱验证 + 双向证书认证

可以考虑 IPv6+https+高位端口+备案域名+系统防护+应用防护

IPv6：利用超大地址空间的优势，防止被外部扫到。BT 等会主动暴露 IP 的服务可以分配单独 IP 。
https：避免明文被刺探。现在有很多免费、自动化的更新方案。
高位端口：避免常用端口被封，或者被扫（配合防火墙）
备案域名：减少被运营商针对的风险（不一定合规，但备案比不备要好）
系统防护：防火墙只开放有必要的端口，避免应用配置错误。阻断重试密码、扫端口等敏感操作。
应用防护：开放公网的应用本身要有安全机制，不能没密码、弱密码或有重大安全漏洞。

@MADBOB 把 5001 端口改了就更好了

我直接 ipv6+ DDNS+ https ，默认端口，相比你们说的安全，几乎是裸奔状态。

自荐一下，用我的 natnps 内网穿透，针对 IP 授权，未授权的 IP 访问 web 需要输入密码。网址：natnps.com

服务放 docker 里，服务不用默认端口和弱口令，定时更新 docker ，再反代就解决 90%黑客了，剩下就看你的价值了

搞个 ss wireguard 连回去完事了

我还有远程桌面需求。也不知道安全不安全？

frp 的 stcp

歪个楼，类似情况：

1. 家里宽带搞了个固定 ip ，如果在家里部署群晖 nas ，如果做到在外部安全访问？
2. 家里的网络英国如何设计和配置，隔离外网访问内部网络设备？

Tailscale 和 frp

你在防火墙里只开放 docker 服务的端口不就得了。docker 逃逸的 0day 漏洞应该轮不上你

“目前还有绿联官方的中转服务器可以利用（会尝试 P2P 打洞），不过需要手机号认证，只能作为迫不得已的备选的方案。”
这个敏感点说实话还挺莫名其妙的。。。毕竟你的初衷是让家人用起来方便，你不会用 VPN 的家人早就把手机号提供给国内所有的服务商了，为啥你会觉得方便家人使用的 NAS 就一定要规避手机号呢。实际上除非你一直挂着 VPN ，你的 NAS 上网的 IP 也是和身份信息强绑定的。而如果你对 NAS 厂家本身不信任的话，那唯一的选项是别用它家系统

有厂商服务就直接用厂商的...你都不信任厂商了，还用它系统和产品。
并且自己去折腾，安全和方便不能兼容，你还要考虑你家人，那更是只能往方便倾斜。

vpn 啊

改个端口，弄个强密码就完事了，没那容易被爆破

可以像大家说的那样弄个 vpn ，但如果嫌麻烦，也可以做个 web basic 验证，相当于二次验证。

不要用标准端口 非法访问会少很多

frp+ss

不使用 VPN 过俩月宽带被封了

@zhq566 高端口，高版本号客户端验证，强密码，就行了

https+444 端口+软路由反代到内网+passwords 生成的长密码就 ok 了。别太把自己当会事搞得提心掉胆。全境那么多 vps 还是固定 ip ，就单单看中你的电脑资料？

请问如果用手机浏览器访问 NAS ， 能支持 双向证书验证 吗 ？证书放在手机浏览器的什么位置啊 ？

防火墙拒绝 wan 口入站，既然有公网 ip 那利用 ddnswireguard 回家很安全。
我家连动态 ipv4 公网都没有，ipv6 倒是有公网可是被严重限速了。不过好在是 nat1 类型的，也容易打洞，弄了 ss 节点回家。

我用 VPS+frp 访问家里的迷你服务器，靠动态写入防火墙的白名单。默认禁止所有访问，客户端发起请求就加入它的 IP ，12 小时后自动撤销。服务端用 python 码了几百行，跨平台桌面端用 go webview 码了几十行，手机上就用 Restler 直接调 webapi 。平时即用即开，一键通行，再也看不到暴力猜密码的漫天日志了。

ssh 密钥登录，其他的只开放对应的端口，开放端口的应用用强密码，

我是直接公网绑域名+DDNS+高端口，稳的一匹

@MADBOB 请问下外网一次登录失败直接锁 IP 这个具体是怎么实现的呢？

运行 zerotier 也就一键开关，如果一键的麻烦都受不了，干脆劝退

我是直接用内网穿透那一套 tailscale/zerotier/frp

1 、域名：
使用独立的域名，不要在任何地方发布该域名的链接
添加域名泛解析到指定 ip ，避免扫描
不要用常用子域名，例如 nas 、pan 、photo 等
申请证书的时候使用泛解析申请，不要泄露子域名
前端套 nginx ，错误的子域名直接返回 444 错误码
2 、防火墙
非必要端口不要全部公开在公网
最好添加 ip 白名单
我是手机上弄个 ddns ，设备对该 ddns 域名解析为 IP 自动过白

上公网不上 vpn 或者穿透就是不安全的，即使上各种措施，指不定你搭的应用或者 docker 镜像里面有个啥 0day 之类

@siallen 设置-安全性-帐户-帐户保护里面设置策略

我是用 surge 回家的，最好用同类型的 vpn 回家，只开一个 vpn 的端口，不仅是规避公网被扫到的风险，同时也能避免因为开 web 服务被运营商封号的风险

最优解就是开一个 ss/v2 之类的，直接利用已有的分流软件，翻墙&回家一站式解决方案

绑定个域名，根据域名反代回 NAS
域名不对就访问不了

高端口、https 、两步校验、强密码

公网开放，drive 、hyper backup 、web ，用了 20 年了，没碰到什么威胁。
**管理员两步验证、搞好证书、做好 DSM 的防火墙就好、防护内配置好封锁、配置好 smtp 通知**

[img][/img]
[img][/img]

看大家都回复了很多，其实我觉得任何一个措施都会增加系统负担，所以改动量是越小越好

配好防火墙就行了, 放行常用 ip 地址, 其他一律拒绝.
配合组网使用体验更佳

无所谓，只要不把无任何安全防护就能修改系统文件的放出去就行了

waf

软件不足硬件来凑，上 NGFW ，哈哈哈哈。

@luoshengdu 我靠牛的 那时候就有群辉了？

用的爱快自带的 openvpn 连回去，然后所有的都走内网

在家里用 docker 部署一个长亭的雷池 waf 社区版, 然后所有的请求都走 waf 做转发. 能帮助拦截掉大量的国外攻击.

@MADBOB 好吧，谢谢大佬。我用的飞牛，好像没有这个功能

使用 nginx 代理 web 。
访问时判断是否存在 cookie 。如果存在返回正常页面，如果不存在返回错误。
第一次访问 URL 时需要指定路径，如 http://xxx.com/asdf 。其中 asdf 是自定义的字符串，如果存在这个字符串，则保存 cookie
这样只要第一次访问 url 时附带自定义字符串，后续就可以无感访问了

用雷池代理一层就行了

@SenLief 为什么 dxp4800 不能买

我有个不成熟的想法哈，，给 NAS 里面塞满病毒，然后公开，你看行不行

1 、限制省内 IP 可访问，甚至可以限制省内单个运营商 4G 5G 可访问；
2 、使用 QUIC 协议，基于 UDP 的，一般没人扫，当然首先公网地址要禁 PING 。

@dreamingclj m2 只有半速 而且它和 hc550 不太契合

@gvdlmjwje #71 2005 年的资料当时通过电脑 server2003 共享文件夹，后面中国大陆开始有群晖马上就开始用了。

我是为了方便家人记域名，而不是记 ddns + 端口，在 dns 解析域名到腾讯云的服务器，腾讯云的服务器 nginx 301 到我家里的 ddns 域名 + 端口，家里的服务也有一层 nginx ，根据来源域名+端口来映射不同的内网服务，当然内网服务都是有各自的用户名和密码的。

@wuud 这个操作够骚气！！！

@1340976576 亲，我在西部数据有一个自己的闲置域名，如何绑定？

说一个 IPV6 的, 如果日常不会大范围移动的话, 查一下日常所在的的 IPV6 前缀分配情况包括宽带和基站, 把会用到的允许其他全禁了

ddns + nginx +https + MFA