有必要把内网服务开放到公网吗？

ddns+反向代理 只暴露一个端口出去算不算安全

看什么服务了

我只有部分端口对外开放，大多数服务是靠 VPN ，智能家居、Jellyfin 挂了公网，然后博客套了层 CF

自用别放公网，走 vpn 好很多。

公网内网都可以又不是冲突的，我 VPN 方案也有开放公网也有。自己一般用的 VPN 方案连接但是也部署了公网的方案。
lukcy 打洞+雷池 WAF+NGINX 代理+后端服务

安全方面基本就靠雷池就行了，把黑白名单用上，用户认证用上，地区访问限制用上两步认证用上安全问题基本就解决了。
1 、雷池地区访问我开放了 2 个省的 IP 地址可以访问，其余都直接拒绝访问请求都到不到 NGINX 反代服务器上。
2 、黑白名单默认采取拒绝全部，白名单配合放通的 IP 地址解除访问限制。
3 、然后把用户认证用上，前面黑白名单放通了就会打开用户认证界面，必须输入用户名密码才能打开页面。重要页面比如跳板机还会配置上两步认证保证安全。

就自己用：vpn
很多人用：公网

内网服务发到公网的简单又超高安全的方法：

1.自用服务，用端口敲击技术。这种技术能 100% 防止黑客破解，甚至你用弱密码 + 默认端口都没问题。

2.公用服务，比如博客服务。用独立机器，上面的重要数据，让数据服务器主动向公用服务器进行推送，来进行防御黑客。

@bbao 挂公网也分怎么挂，只是开一个或几个端口 + 开启 fail2ban 类似的功能 + 账户启用 2FA ，挂公网就没问题。

@laminux29 #47 重放攻击

可以 上 https

个人感觉是没有必要

只开一个 wireguard 端口吧。安全起见

内网 NAS 、RDP 还有 Calibre 的服务放公网很多年了，严格管理端口以及鉴权其实没有那么多事情。除了 Calibre 容易被强扫，但是也在控制范围内

@copperDC 用的弱密码吗

只开了一个 https 大端口，根据域名去访问，看日志没被攻击过

@nightlight9 应还是必然的吧?我用 v6 的 3389 直接暴露，v4 的通过端口转发禁用 administrator ，只开微软账号登录，目前还没啥问题，看日志，似乎连爆破的尝试都没有。

网站发出来，让我观摩一下（滑稽）

@nightlight9 哈哈哈哈.是的.用户名 2 位.密码是一个数字 0.都是为了自己图方便...

我是内网部署的多个服务，外加一个 Nginx 做域名映射。开 Tailscale ，然后在本机 host 配置 Tailscale 对应的内网机器 IP + 域名

@yinmin 请教 mtls 认证支持内网各种服务吗？关闭 no-sni 式什么意思？