这是一个创建于 895 天前的主题,其中的信息可能已经有所发展或是发生改变。
家里有一些服务,比如 Nas 和各种虚拟机,为了方便在外面使用,我在内网搭了一个 ss ,外网通过 ss 协议连接到该服务,再进行局域网的访问。这个方案有一个风险点是,如果 ss 的密码暴露了,那么拿到密码的人就也可以访问家里局域网了。目前这套方案运行了两年多时间,可能没有出什么问题,也可能出了问题我没有察觉到。虽然局域网内的各个服务都有密码,但还是感觉不太踏实。
想咨询一下 v 友们有没有什么安全策略,比如局域网的监控服务、或者其他更好的对外暴露内网服务的方案。
 | 1 duduke 2023-05-15 12:28:54 +08:00 via iPhone  1 对外开放 vmess ,通过 vmess 回家,反正电脑手机都要开着科学 |
 | 2 yanyuechuixue 2023-05-15 12:40:01 +08:00 用 tailscale 呀,其实现在由于有 ipv6 的原因,大部分设备都可以打洞直连。 |
 | 3 ysc3839 2023-05-15 12:49:27 +08:00 via Android 换 WireGuard 等基于非对称密钥认证的协议 |
 | 4 deplivesb 2023-05-15 12:54:26 +08:00 vpn 回家 |
 | 5 Jhma 2023-05-15 12:54:54 +08:00 用 opnsense 防火墙简单配置一下 openvpn,能实现用户+密码+证书+APP 动态密码的高安全访问,其他 vpn 只要能拿到你的用户密码证书文件配置文件等就可以随意链接,是不安全的 |
 | 6 shangyu7 2023-05-15 13:09:38 +08:00 ss 够安全了吧?密码关了用证书呗 |
 | 7 sadfQED2 2023-05-15 13:20:06 +08:00 via Android 内网开 v2 ,使用梯子服务器做分流。连上梯子以后,内网,墙外,大陆都能流畅连接 |
 | 10 blankmiss 2023-05-15 14:44:42 +08:00 tailscale 搭建私有 derp 服务器 |
 | 13 0o0O0o0O0o 2023-05-15 16:00:55 +08:00 via iPhone @Jhma #9 每次在 v 站看到一些诸如“我很多年都是这样那样配置没被黑过”的发言,我也想问他们你怎么知道自己没被黑,难道黑客只是进来格盘大声嚷嚷的 |
 | 14 K0ma 2023-05-15 16:05:24 +08:00 sslvpn 应该是相对更加安全的方式,还有你内网 ss 的服务器的端口开放情况要把控好,不要开放无用端口出去了,最好能起个防火墙搞个定时清理黑名单 ip 的策略。 |
 | 15 monkey110 2023-05-15 16:15:30 +08:00 目前个人在用的方案是华硕路由开 openvpn,防火墙放行指定端口,用群晖自家 ddns(可以 https 访问)反代群晖和内网部分服务,vpn 和 ddns 配合使用,强密码二部验证是基操。 另外使用何种组网软件能用最新版的就用最新版的,防止漏洞类。 我就是用的 nps 然后作者不更了,被从漏洞进来裸奔了两年之久,直到最近才发现。 详见 t/939787 |
 | 16 wogjdjaj 2023-05-15 16:21:13 +08:00 via Android 只要联网就没有安全可言 多备份 少开放太多服务和端口 |
 | 17 1521815837 2023-05-15 16:24:08 +08:00 疑人不用用人不疑呗移动硬盘又不贵 |
 | 18 winson030 2023-05-15 16:33:21 +08:00 via iPhone 推荐 Tailscale ,稳 |
 | 19 JayZXu 2023-05-15 16:36:05 +08:00 tailscale, zerotier 。组虚拟局域网,不需要对外开端口也能用了 |
 | 20 a632079 2023-05-15 17:08:29 +08:00 同楼上,为啥不用 VLAN 终端?比如 tailscale 、zerotier ? 如果担心中心节点的问题的话,可以直接用 tailscale 的非官方开源控制服务器 headscale 的。 |
 | 21 leaflxh 2023-05-15 17:16:10 +08:00 自己写个 port knocker ,手动操作,ip to ip 防火墙放通 |
 | 22 tyhunter 2023-05-15 17:32:14 +08:00 我是 IPV6 DDNS+端口转发+SS ,SS 用的大小写+字符,除非主动泄露 如果还想加强安全,可以考虑搭建一台跳板机转发 SS 请求? 设备-->跳板机转发-->本机端口转发(白名单只接受跳板机 IP)-->SS 端口 但这样速度就不如直接 DDNS 来的直接了 |
 | 23 yaott2020 2023-05-15 18:04:13 +08:00 via Android wireguard 回家,安全性速度兼有 |
 | 24 abcfreedom OP @duduke 话说开放 vmess 和开放 ss 安全性是不是一样呢 |
| 25 abcfreedom OP |
| 26 abcfreedom OP @janzwong 学到了,目前是只开放了 ss 的端口到公网,黑名单 ip 之前还没太搞过,我去查查,感谢大佬 |
| 28 abcfreedom OP @monkey110 感谢,我目前用的 ikuai 的系统做主路由,对外开放了 ss 的端口~ 之前在公有云服务上用一键脚本搭建服务,也碰到过被黑的情况,确实挺坑的,当时我的服务器被拿去恶意乱发邮件,以至于被云服务商强制关了 |
| 29 abcfreedom OP |
| 30 abcfreedom OP |
 | 31 FrankAdler 2023-05-15 19:57:26 +08:00 via iPhone 定期更换密码 我觉得 ss 就足够了 |
 | 32 baobao1270 2023-05-15 20:28:27 +08:00 SS 密码用 128 位随机字符串,怎么暴露? 除非主动泄露,比如不小心分享出去二维码。否则以现在的密码学设计,除非对方使用量子计算机,或者协议实现上有 0day ,否则不会有问题 当然也可以用 ZeroTrust 的思想,所有需要上公网的都直接上公网,强制 GitHub OAuth 登录+YubiKey 验证 |
 | 33 azure2023us559 2023-05-15 20:35:18 +08:00 docker |
 | 34 azure2023us559 2023-05-15 20:36:29 +08:00 ss 换 wireguard , listen on ipv6 443 udp |
| 35 abcfreedom OP |
 | 36 hezhile 2023-05-16 11:29:31 +08:00 zerotier +1 |
 | 37 superchijinpeng 2023-05-16 13:01:54 +08:00 Tailscale ,也可以用 Cloudflare Tunnel |
 | 38 esee 2023-05-16 14:47:51 +08:00 @Jhma 你也说了没有痕迹,那你加了动态密码就能知道黑客没来过?安全都是相对的,你给门加了几百把锁,结果门和墙连接不牢固直接把门踹开了不也一样入侵,最后防的都是自己。 |
| 39 Jhma 2023-05-16 14:57:58 +08:00 @esee 至少二次认证是公认的比没有二次认证的安全,各大安全厂商也力推二次认证系统,简单的说,我明明有技术可以自己动手加锁,为何不加! |
 | 40 troilus 2023-05-16 18:07:19 +08:00 用 vmess ,配合规则 |
 | 41 hauzerlee 2023-05-16 20:09:28 +08:00 不是非要立刻马上就访问到的话,还可以利用一些黑客也常用的手段。比如写段程序抓取你的微博之类的能公开发出的信息,抓到短时间内特定的暗号,才把家里的 ss 打开,用完关闭,其他时间都是关闭的。减少对公网暴露的时间。 技术细节方面的话,就是这个暗号也用动态的,两边同时生成,用于对比和校验。 |
Select Language