有必要把内网服务开放到公网吗？

开放到公网无非是方便一点，可以直接访问

自己一个人用无所谓的，但是出于安全的角度，不建议开放到公网

能用内网谁用公网啊，公网各种扫描渗透爆破的自动化工具，有点漏洞就能让你数据归别人

有动态公网，我是怕运营商啥时候给我限速了，现在是通过 SS 回家。每个月有个 PT 基本没啥上传，自己经常用远程桌面也就 70G 。

建议发帖子发清楚些，什么业务什么样的需求场景？啥都不说

何必呢

@imunoko 不好意思没看到 tag 挂的是 nas

vpn 就行 没必要公网

NAS 坚决不连公网,顶多几个人用的场景.

除了 bt ，其他一律 vpn 回家

tailscale 先测试一下打洞能不能成功。使用它自带的 derp 在国内延迟很高的，我自己目前在 300ms 左右

家里 NAS 上所有的服务都可以公网访问，也开了 tailscale ，方便使用。十多年，每天都有攻击，但没有被攻破过。

都定义为内网服务了，干吗开放到公网？

开启 mTLS(双向证书认证)、关闭 no-sni 访问，开放给公网还是很安全的，使用也很方便。

自己用可以开放到 ipv6 上，也不怕被人扫到

走 frp+HTTPS+Web 认证+强密码
个人服务我觉得够用了

不要这么干，至少 tailscale ，如果嫌 tailscale 延时高，可以加上微林的 derp 服务，接入国内节点，延时只有 20ms 。

我现在就是这么解决远程控制问题的，通过 Tailscale + derp + windows 的 RDP 来实现，derp 国内节点没有自建嫌麻烦，用的微林的费用是一个月 10 元，Tailscale 解决内网，国内 derp 节点解决延时问题，完美。现在远控延时不到 20ms

@mqnu00 headscale+derp 稳如狗

公司不好用 tailscale ，只能放到公网，两种方案都备上了

nas 挂公网？，HR 请帮我搜集一下简历，我想换个人。

我 ecs 和家里有单体 tcp client+web server 的 10 个进程，通过 web server 界面控制 tcp client 的一些行为，目前就是 headscale 下手机和电脑直接访问内网 ip 控制的，不存在类似映射端口或者 frp 暴漏 windows 的 3306 端口弱密码和被爆破的风险 ，而且 nat 打动成功率很高，不受中继木桶效应影响

cloudflare 套个 CDN ，或者用 tunnel ，也保护了内网的安全

1. 保密，只能问自己。
2. 给别人解释清楚具体情况，然后问意见。
二选一。

t/1145578 参考

组 VPN ，安全点，网上扫描太多了

你一开始搭建服务的时候就没考虑公网，当时漏掉了什么关键操作以及后续必要的连带操作也差不多忘了，这时候突然想丢到公网去，这才是最危险的。

3389 我放公网了.被扫到了.凌晨被入侵.中了勒索病毒.GG
别为了图方便.哎...

我现在的就是 openvpn + mtls ，公网阿里云小水管关闭 22 端口并且仅允许公钥方式登录，唯一暴露端口 openvpn 的 udp 端口。

搞清楚真实需求呀。
如果实际需求是：只有自己用，要访问家里的服务，那就没必要开放。
你的需求是开放到公网给别人用，才需要开放公网。
虽然开放公网某种意义上是省事，但是就我个人而言，我希望家里的网络环境是“绝对安全”的。云服务器上的服务随便开放无所谓。

了解一下 pocket id 。我用 caddy + pocket id 统一暴露到公网，除非软件自己有 BUG ，不然安全性还是很可以的。

绝对不要一股脑把所有端口都放出去，做个入口统一管理。

@mooyo #30 这个 pocketid 我也在用，目前最烦的就是安卓端兼容捉急。。。首先各种浏览器不对付，然后就算能拉起密码管理器，但一验证始终失败。明明无论扫码还是电脑通行密钥都能验证成功的。

@liuzimin 走的 webauth 的话，应该是浏览器自己的实现问题。没安卓设备，确实没遇到过这种情况。。。
我在 ios/macos/windows 上配合 bitwarden 还是挺好用的。

@liuzimin 这玩意儿 23 年开始 google 和 apple 才开始推，可能国内还没开始兼容...也可能打包的时候顺手给阉割了。

ss 回家

不懂就问：
VPN 是要 NAS 搞吗？还是有什么路由器可以实现？

如果自己用，内网就够了吧

openclash 搞了个 ss 入站，loon 配置好内网分类规则，然后就可以通过 ss 访问内网。

我目前是 tailscale+derp+飞牛 nas
derp 搭建在阿里云 2c2g3m 服务器上，延迟 14ms 左右。

wireguard ，或者 openvpn 啥的

ddns+反向代理 只暴露一个端口出去算不算安全

看什么服务了

我只有部分端口对外开放，大多数服务是靠 VPN ，智能家居、Jellyfin 挂了公网，然后博客套了层 CF

自用别放公网，走 vpn 好很多。

公网内网都可以又不是冲突的，我 VPN 方案也有开放公网也有。自己一般用的 VPN 方案连接但是也部署了公网的方案。
lukcy 打洞+雷池 WAF+NGINX 代理+后端服务

安全方面基本就靠雷池就行了，把黑白名单用上，用户认证用上，地区访问限制用上两步认证用上安全问题基本就解决了。
1 、雷池地区访问我开放了 2 个省的 IP 地址可以访问，其余都直接拒绝访问请求都到不到 NGINX 反代服务器上。
2 、黑白名单默认采取拒绝全部，白名单配合放通的 IP 地址解除访问限制。
3 、然后把用户认证用上，前面黑白名单放通了就会打开用户认证界面，必须输入用户名密码才能打开页面。重要页面比如跳板机还会配置上两步认证保证安全。

就自己用：vpn
很多人用：公网

内网服务发到公网的简单又超高安全的方法：

1.自用服务，用端口敲击技术。这种技术能 100% 防止黑客破解，甚至你用弱密码 + 默认端口都没问题。

2.公用服务，比如博客服务。用独立机器，上面的重要数据，让数据服务器主动向公用服务器进行推送，来进行防御黑客。

@bbao 挂公网也分怎么挂，只是开一个或几个端口 + 开启 fail2ban 类似的功能 + 账户启用 2FA ，挂公网就没问题。

@laminux29 #47 重放攻击

可以 上 https

个人感觉是没有必要

只开一个 wireguard 端口吧。安全起见

内网 NAS 、RDP 还有 Calibre 的服务放公网很多年了，严格管理端口以及鉴权其实没有那么多事情。除了 Calibre 容易被强扫，但是也在控制范围内

@copperDC 用的弱密码吗

只开了一个 https 大端口，根据域名去访问，看日志没被攻击过

@nightlight9 应还是必然的吧?我用 v6 的 3389 直接暴露，v4 的通过端口转发禁用 administrator ，只开微软账号登录，目前还没啥问题，看日志，似乎连爆破的尝试都没有。

网站发出来，让我观摩一下（滑稽）

@nightlight9 哈哈哈哈.是的.用户名 2 位.密码是一个数字 0.都是为了自己图方便...

我是内网部署的多个服务，外加一个 Nginx 做域名映射。开 Tailscale ，然后在本机 host 配置 Tailscale 对应的内网机器 IP + 域名

@yinmin 请教 mtls 认证支持内网各种服务吗？关闭 no-sni 式什么意思？

ftp 共享到公网了，存取文件方便些。

可以啊，你买个 waf 部署上。

@standin000 #59 mtls 支持所有 tcp 协议，前置 nginx 即可，具体配置问 gpt

公司 IT 直接以安全为由把 Tailscale 给禁了，不得不用公网了。

@allplay 重放攻击是非常古老的，针对一点安全知识都不懂的上古程序员了。现在每份通信数据里随便带点时间戳与证书 hash 碎片，就可以防这玩意。

@laminux29 #65
一个家用 nas ，谁还去整这些东西

如果有 ipv6 ，可以开放，反正个人数据加 v6 的大地址池，被黑客盯上的效率低

frp 映射公网+IP 白名单

开放过,中过勒索

@copperDC #27 弱密码这不纯粹是你的问题吗。。。而且竟然还不加 win2ban 之类的防护。不知道该说你胆大还是无知

已全部切换到内网

@moli777 我见识少嘛~这不是就被勒索病毒教育了么.