V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2412 days ago, the information mentioned may be changed or developed.
最近管电信要了公网 IP,把家里的群晖暴露在公网上了,然后收到一些触发登录封锁的通知,
因为也想在公网有相对完整的体验,把所有端口都转发出去了,
目前设置了登录封锁 和 防火墙,用户密码也相对复杂,想问问还有没有其他手段能有效阻止攻击什么的?
Supplement 1 · Sep 20, 2019
所有端口的意思是所有需要用到的端口😂有歧义了
 |
1
trepwq Sep 20, 2019 via iPhone
不用标准端口可以减少很多麻烦
|
 |
2
cwbsw Sep 20, 2019
在外面用 VPN 连回来,除此之外的端口都关了。
|
 |
3
0DBBFF Sep 20, 2019  1
"因为也想在公网有相对完整的体验,把所有端口都转发出去了" 你也是心大
|
 |
4
wogong Sep 20, 2019 1
幸福的烦恼,没有公网只能用 tinc/wireguard 之类的就不用担心这个。感觉这个就像公网 VPS 各种被扫一样,开了密钥登录 /非默认端口 /fail2ban 之类剩下的就只能忽视日志中的登录尝试了。
|
 |
5
Lightninc Sep 20, 2019
现在公司也有一台群辉,能教教咋使用吗?主要使用备份功能呢。。。
|
 |
6
fkmc Sep 20, 2019
牛逼 我只开放 ssh nextcloud 以及 httpproxy openvpn 端口
上班笔记本都是 openvpn 连回家里 上内网 |
 |
7
MonoLogueChi Sep 20, 2019 via Android
三个端口就够用了
|
 |
8
wazon Sep 20, 2019
改掉 SSH、FTP 等的常用端口即可
|
 |
9
cyang PRO 你远程连群晖是通过 SSH 的?不是通过 https 设置个非常用端口?
|
 |
10
opengps Sep 20, 2019 via Android
所有端口??别闹,生产服务器都是只开放用到的端口!!!
|
 |
11
swieer Sep 20, 2019
不要用 admin 账号
|
 |
12
pC0oc4EbCSsJUy4W Sep 20, 2019 1
两步验证
|
 |
13
her100 Sep 20, 2019
我想知道怎么获得公网 IP
|
 |
14
carrionlee Sep 20, 2019 via Android
开个反代服务器
|
 |
15
Crusader Sep 20, 2019
把所有端口都转发了。。。
|
 |
16
Mac Sep 20, 2019
改默认端口可以避免 99%的攻击
|
 |
18
oul Sep 20, 2019 1
群晖的话设置二次验证,停用 admin 账户,改常用端口号。
|
 |
19
Untu Sep 20, 2019 via Android 1
禁止 root 账号登录,使用 sudo,修改常用服务嗯端口,尤其是 ssh 不然会天天被爆破
|
 |
20
jzphx Sep 20, 2019
群晖只暴露 http 端口,开启 fail2ban 安全性还是可以的
|
 |
21
dier Sep 20, 2019
SSH 禁用密码登录,改端口号。
必须要密码登录的密码强度一定要高,只要记得住,越复杂越长越好 |
 |
22
sadfQED2 Sep 20, 2019
只暴露必要端口,其他需求通过 vpn 连回去,你根本不知道你哪个端口哪个服务上面可能有漏洞,这你就直接全暴露了?
|
 |
23
dingdangnao OP @dier 没找到群晖怎么禁用 ssh 密码,我开了 sftp 好像必须要开 ssh ?密码应该算复杂了。吧。
|
 |
24
shinciao Sep 20, 2019
群晖别用默认的 5000 5001 端口
|
 |
25
xxq2112 Sep 20, 2019 via iPhone
首先不回应 Ping,然后避开默认端口
|
 |
26
geekvcn Sep 20, 2019
因为也想在公网有相对完整的体验,把所有端口都转发出去了,你这习惯神仙都救不了,人家想尽办法关闭非需要端口,各种改常规端口号,禁 Ping,你倒好反着来,什么习惯啊,为什么要转发所有端口才叫完整公网体验,谁教你的?
|
 |
27
darksword21 PRO 所有端口。。
|
 |
28
roryzh Sep 20, 2019
shodan
|
 |
29
flyfishcn Sep 20, 2019 1
SSH 用证书密钥登录,关闭密码登录或者设置非常复杂几乎不可能破解的密码,再配合失败封禁。就可以放心对公网开放,一般除非有溢出提权漏洞,不然基本很安全。
|
 |
30
liuqi0270 Sep 20, 2019
nat 设置 out interface ! Lan。可以获取访问真实 IP 而非你的网关。然后按策略 ban 攻击 IP。不过遮掩设置内网不能访问你的公网地址。
|
 |
31
alphatoad Sep 20, 2019 via iPad
我的做法是用跳板机直接获取公网 IP,fail2ban 自动封 IP,ssh 禁密码,http 用 nginx 反代到 real server
|
|
32
alphatoad Sep 20, 2019 via iPad
唯一的问题是,synology 的自动封 IP 功能似乎会无视 X-Forward header 而只认源 IP
|
 |
35
Phasma Sep 22, 2019
|
 |
37
Chingim Sep 22, 2019 via Android
上 https 没?不然密码再复杂也没鬼用。
我也暴露在公网了,不过只对公网开放 443 端口。ssh 权限太大,而且日常使用也不需要,只能在内网访问。 路由器也开了 443 |
 |
38
JoeoooLAI Sep 25, 2019
quick connect 可能是最安全最不折腾的了
|
 |
39
Ruslan Sep 25, 2019
我是 SSH 端口不暴露给公网,然后管理员账户开了两步验证。
|
 |
40
siparadise Sep 30, 2019
不是类似 443 转 6549 之类的,还是你直接原端口转出去了
|
Select Language