如何减少 NAS 端口暴露至公网

NAS 的域名是 example.com ，部署了 SSL 证书，上面有若干敏感服务，例如端口号是 1234 ，将其映射到公网，防火墙放行，通过访问 https://example.com:1234 获得服务。
一段时间后被爆破攻击，考虑隐藏这个端口，不再暴露至公网，防火墙不再放行。考虑引入一种验证机制，验证通过后直接访问 https://example.com:1234 获得服务，允许在服务端和客户端进行配置，配置好后应当自动完成这种验证，无需用户手动操作，有何较好的方案

yeh

2024-09-14 18:14:57 +08:00

docker 部署个 ss ，vmess 啥的

写个规则，在外先回家，再访问 nas 。

hronro

2024-09-14 18:18:52 +08:00

用 VPN 。我路由器上直接配置拒绝所有由公网到内网的连接，简单粗暴。

SeanChang

2024-09-14 18:23:18 +08:00

用雷池 WAF 挡一下。

家庭网络告别裸奔：群晖一键部署雷池 WAF 防火墙教程： https://xuanyuan.me/blog/archives/908

dfdd1811

2024-09-14 18:23:57 +08:00

自己的就 vpn 回家，通过内网连。需要公共就 fail2ban 。我群晖的端口都不放公网了

Trim21

2024-09-14 18:25:51 +08:00

我用的是 pomerium ，直接把所有需要验证的服务都丢到反向代理后面去就行了

SeanChang

2024-09-14 18:26:30 +08:00

安装后把群晖或者群晖的上流的软路由之类的端口全关闭，或者用群晖的防火墙关闭端口，只留一个端口，外网通过访问这个端口进入再通过雷池 WAF 监听这个端口，根据域名判断进行反向代理即可。

雷池最近更新了几个版本，上面的教程可能有点过时了，可以做个参考。

mikewang

2024-09-14 18:38:19 +08:00

参考 https://ex.noerr.eu.org/t/982608
端口处于打开状态，域名不正确选择直接关闭连接，可一定程度上避免基于 ip 的 http 扫描

dcvsiug

2024-09-14 18:39:17 +08:00

我用的 wireguard 回家，路由器只要开一个 wireguard 端口就行

CodeAllen

2024-09-14 18:47:40 +08:00

像 zerotier 这样虚拟内网不就好了，VPN 是最简单的方式，权限验证也都很成熟，而且都有加密，要说缺点就是得后台跑服务

fiveStarLaoliang

2024-09-14 18:51:52 +08:00

1. tailscale 、wireguard 等组网工具
2. 端口隐射加秘钥验证
3. 端口敲门
4. 其他待补充

COOOOOOde

2024-09-14 18:53:21 +08:00

说起来我有一个想法，做一个服务维护一个防火墙的时限白名单再暴露一个网页服务，网页上输入密码后将当前访问 ip 加到白名单上，每个 ip 限制时间访问比如一天，过期移除白名单。
不知道有没有现成的

suuuch

2024-09-14 19:22:35 +08:00

我有一个特别不方便的做法，就是在每天凌晨我在睡觉的时间里，有几个小时是直接关机的。。通过日志，能看出来被访问的频率大幅度降低。

Andrue

2024-09-14 19:32:38 +08:00

一定要用公网就双向 tls 试试，当然最好还是用组网工具做安全环境比较好

dcvsiug

2024-09-14 20:57:27 +08:00

@COOOOOOde 有的 vpn 脚本有这种功能，具体是哪个忘了，就是用梯子之前先访问一个链接，把当前 ip 添加到白名单里，然后才能连接上

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1073068

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.