深圳电信,申请了公网 IP ,目前使用这样的方式进行访问,不知道是否还有可以优化的空间?
- 访问:
- 使用 ssh 隧道转发到 nginx 反向代理的接口,通过 nginx 访问自建的 web 服务。
- 内网服务器定期更新 ip 到 git 上,客户端定期将 ip 更新到 hosts 里。这样子 vscode remote 和 ssh 都比较方便,每次服务器 ip 变更不需要重新记录指纹。
- 安全:
- 使用 OTP port knocking(准备用) + fail2ban(在用) + ssh 密钥登录(在用) + nftables 限制访问端口(懒,还没配置)
这样的话,使用时先 ssh 登陆过去,然后用浏览器打开映射的地址。新机器访问时先添加 ssh 公钥。
在内网可以直接访问,不需要 ssh 隧道。外网可以用电脑访问,手机不太方便,没找到 port fowarding 比较好用的 app ,经常后台会杀掉连接。所幸也没有在外网使用手机的需求。
感觉在安全和使用上都还可以,不知道是否还有其他可以优化的空间?
之前用自己的域名做 ddns ,后来听说解析到家庭宽带 ip 也会被请喝茶就取消了,还是用 ssh 隧道的方式。感觉 ssh 隧道这种方案如果没有公网 ip ,用 stun 的方式做 p2p 应该也可行?
Select Language