请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
这是一个创建于 40 天前的主题,其中的信息可能已经有所发展或是发生改变。
家庭使用,请问这个方案的安全性如何?
互联网->路由器端口转发->NAS->Caddy(docker)反向代理->FRP(docker)->电脑 SSH(禁用密码)
还有哪个环节可以加强?
互联网->路由器端口转发->NAS->Caddy(docker)反向代理->FRP(docker)->电脑 SSH(禁用密码)
还有哪个环节可以加强?
 | 1 sexoutsex2011 40 天前 via iPhone 互联网 -> Tailscale VPN -> 内网设备 SSH |
 | 2 imdong 40 天前 via iPhone 互联网>VPN>SSH 或者 互联网>路由器高位端口转发>SSH(仅密钥) 搞那些花里胡哨的,没啥用。 |
 | 3 digwow PRO 互联网>frpc>SSH(仅密钥,非 22 端口) |
 | 4 swiftg 40 天前 via iPhone  1 cloudflare zerotrust ,不暴露端口 |
 | 5 SeaSaltPepper 40 天前 1 搞那么多花里胡哨的干嘛, 互联网 -> WireGuard/Tailscale -> 内网任意设备 SSH |
 | 6 z7356995 40 天前 via Android 直接 ipv6 不行吗,ssh 禁用密码,用 rsa 证书。不要搞那么复杂,rsa 证书没办法破解。 |
 | 7 Ipsum 40 天前 via Android Ssh 使用密钥登录,安全性不比 vpn 差。 |
 | 8 wuruxu 40 天前 在路由器上 开个 wireguard 转发到内网的电脑上,这样很安全 |
 | 9 deepbytes 40 天前 公网---SSH 隧道(最佳实践的高强度+性能平衡的 FIDO2 实体密钥认证,私钥存在硬件密钥中,2 个硬件密钥相互备份)---NPS 高位随机端口禁用,只在 FIDO2 硬件密钥认证通过时才开放端口被连接,实际公网看不到该高位端口,原因是 ssh 隧道连接可以绕过防火墙策略---家里无公网的 ubuntu 安装 npc 客户端---认证完毕---macOS 中的 RDP 建立连接到家里的 Win11 、win10 等机器。调教好,非常丝滑!已稳定使用 1 年多,稳如狗 |
| 10 deepbytes 40 天前 @deepbytes 当然 op 提的 ssh 也是同理,我在家里放了 3 台不同发行版的虚拟机 linux ,通过这个办法,macOS 外网可以爽连内网所有支持 ssh 的机器,win11 我也开了高位的 ssh 端口,可以连接 win11 本机的 ssh 也可以连接 WSL2 里面的 ubuntu |
 | 11 int80 40 天前 via Android 花里胡哨的东西不如 port knocking 最简单高效就用 tailscale |
 | 12 hwdq0012 40 天前 openvpn -> frp -> ssh 都是证书非对称加密我觉得很 ok ,捂紧裤裆(私钥)就好了 |
 | 13 coldle 39 天前 vpn 和 ip 白名单总得有一个 |
 | 14 Pteromyini 39 天前 1 内网设备不需要使用穿透的方式暴漏公网服务,使用 sdwan ( zerotier/tailscale/wg/easytier )组网访问是最方便的 |
 | 15 caola 39 天前 frp -> ssh 加上用 证书 登录,即使对外暴露端口破解率也基本为零 |
 | 16 383394544 39 天前 互联网 → 路由器端口转发 → NAS VPN 入口 → 内网 SSH 你都有公网 IP 还整什么内网穿透 |
 | 17 iomect 39 天前 有公网 IP 的话 最安全的就是 VPN 回家 不过你用 FRP 看来是没有公网 IP 那也是只用 FRP 穿透 VPN 的那几个端口 然后 VPN 回家... 其实没你想的那么不安全 我家公网 IP 十多年了 所有服务全都暴露在公网 从没出过问题 |
| 18 383394544 39 天前 甚至可以 互联网 → 路由器端口转发 → NAS SSH → 内网 SSH 只要 NAS SSH 那一关够安全就行 |
 | 20 laminux29 39 天前 互联网 -> SSH 就够了,SSH Server 使用强密码 + 安装 fail2ban + 只接受本地区的 IP ,足够安全。 |
 | 21 xpzouying 39 天前 |
 | 22 AkinoKaedeChan 39 天前 via iPhone 当然是 Internet <-> WAF <-> SSH |
 | 23 e3c78a97e0f8 39 天前 我是直接暴露 SSH ,要求密钥+密码双重验证 |
 | 24 mozhizhu 39 天前 我是直接在代理软件上分流内网 IP 走反代家里的节点(国内机器 ss2022 协议)访问,不直接做任何映射; |
 | 25 totoro625 39 天前 via Android 实际上 ssh 22 端口 禁止密码登录就已经是最安全的 但是不排除手抖添加了一个简单的用户 所以我的 frp 服务端加了 ip 白名单,电脑上跑一个 ddns ,服务器从 ddns 获取白名单 ip |
 | 26 luodan 39 天前 电脑上装个 tailscale 就完事。 |
 | 27 supermama 39 天前 现在有些路由内置了 vpn ,直接用 vpn 就好了。 |
 | 28 7ullSt4ck 39 天前 1 easytier |
 | 29 anubu 39 天前 不认为这么长的一个链条,对安全性有什么帮助,徒增维护复杂度。公网--路由端口转发--内网 SSH 仅密钥认证,这个简单的链条安全性足够了。非要想折腾,fail2ban,MFA 配置一下,稍微增加点复杂度,但对安全性至少是有帮助的。 |
 | 30 mendax2019 39 天前 一个强密码足够 |
 | 31 ar16 39 天前 SSH 禁止密码登陆就足够安全了 |
 | 32 yulgang 38 天前 当然是 互联网 - VPN - SSH 最安全 |
 | 33 Chengnan049 38 天前 只有自己访问的最优解:Tailscale |
Select Language