有必要把内网服务开放到公网吗？

我 ecs 和家里有单体 tcp client+web server 的 10 个进程，通过 web server 界面控制 tcp client 的一些行为，目前就是 headscale 下手机和电脑直接访问内网 ip 控制的，不存在类似映射端口或者 frp 暴漏 windows 的 3306 端口弱密码和被爆破的风险 ，而且 nat 打动成功率很高，不受中继木桶效应影响

cloudflare 套个 CDN ，或者用 tunnel ，也保护了内网的安全

1. 保密，只能问自己。
2. 给别人解释清楚具体情况，然后问意见。
二选一。

https://ex.noerr.eu.org/t/1145578 参考

组 VPN ，安全点，网上扫描太多了

你一开始搭建服务的时候就没考虑公网，当时漏掉了什么关键操作以及后续必要的连带操作也差不多忘了，这时候突然想丢到公网去，这才是最危险的。

3389 我放公网了.被扫到了.凌晨被入侵.中了勒索病毒.GG
别为了图方便.哎...

我现在的就是 openvpn + mtls ，公网阿里云小水管关闭 22 端口并且仅允许公钥方式登录，唯一暴露端口 openvpn 的 udp 端口。

搞清楚真实需求呀。
如果实际需求是：只有自己用，要访问家里的服务，那就没必要开放。
你的需求是开放到公网给别人用，才需要开放公网。
虽然开放公网某种意义上是省事，但是就我个人而言，我希望家里的网络环境是“绝对安全”的。云服务器上的服务随便开放无所谓。

了解一下 pocket id 。我用 caddy + pocket id 统一暴露到公网，除非软件自己有 BUG ，不然安全性还是很可以的。

绝对不要一股脑把所有端口都放出去，做个入口统一管理。

@mooyo #30 这个 pocketid 我也在用，目前最烦的就是安卓端兼容捉急。。。首先各种浏览器不对付，然后就算能拉起密码管理器，但一验证始终失败。明明无论扫码还是电脑通行密钥都能验证成功的。

@liuzimin 走的 webauth 的话，应该是浏览器自己的实现问题。没安卓设备，确实没遇到过这种情况。。。
我在 ios/macos/windows 上配合 bitwarden 还是挺好用的。

@liuzimin 这玩意儿 23 年开始 google 和 apple 才开始推，可能国内还没开始兼容...也可能打包的时候顺手给阉割了。

ss 回家

不懂就问：
VPN 是要 NAS 搞吗？还是有什么路由器可以实现？

如果自己用，内网就够了吧

openclash 搞了个 ss 入站，loon 配置好内网分类规则，然后就可以通过 ss 访问内网。

我目前是 tailscale+derp+飞牛 nas
derp 搭建在阿里云 2c2g3m 服务器上，延迟 14ms 左右。

wireguard ，或者 openvpn 啥的