公网开 nginx proxy manager 是不是太作死了？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in，那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动，会导致账号被禁用。

这是一个创建于 198 天前的主题，其中的信息可能已经有所发展或是发生改变。

网上铺天盖地的都是 nginx proxy manager 的教程，我就装了一个，确实挺方便。路由器只映射 80 和 443 ，别的都没开，nginx 这边除了一个 webdav 都限制内网访问。
昨天 QNAP 突然给我发报警邮件说防火墙拦截的记录达到阈值，我点进去一看过去的一周内每小时都是 20+次记录。再上网一搜这个 nginx proxy manager 的安全性也存疑。约等于自己在公网上裸奔了一个星期。
换自定义端口能有用吗？还是完全就不应该开这种东西？

第 1 条附言 · 197 天前

我现在甚至怀疑网上这些 npm 的配置文章都是黑产写的。如果用 DNS challenge 的话根本就不需要开 80/433 ，非蠢即坏了。

Nginx

proxy

Security

34 条回复 • 2025-04-26 09:44:01 +08:00

PerFectTime

198 天前

用 caddy, 一个配置文件就解决了, 少用这种面板

f1ynnv2

198 天前

npm 问题太多了，不仅仅是安全性问题，还有很多稳定性问题，经常是某天重启一下就不行了，遇到版本升级完全看运气，不知道网上为啥这么多吹 npm 的。最后换了 caddy 。

dodakt

198 天前

直接用 nginx 配置，比用面板方便多了。现在和前几年不一样，哪怕不会配问 AI 解决。

lengrongec

198 天前

如果单纯只是图方便，npm 这种东西不要直接安装在 nas 上，最好装在 arm 架构的二三十块钱的 armbian 系统上，反向代理要访问内网的 nas 端口。
npm 直接安装在你最重要的 nas 上，小心给你戳爆

roygong

198 天前 via iPhone

手搓 Nginx 配置文件呗，那个 GUI 都是非官方的

Yang2635

198 天前 via Android

这些面板用的很少，个人管理自己 nginx 一般先写好两个配置，一个配置用于反代的，一个用于正常 web 的。需要用哪个就复制哪一份，简单修改一下里面域名等参数就行了

duzhuo

198 天前

你只映射 80 443 也会有问题吗，被扫了不可避免吧

dilidilid

198 天前

要高级的就手搓 nginx ，省事就用 caddy ，我不知道为啥要用 NPM 这种面板，有什么漏洞也不会有人及时修的

AhFei

198 天前 via Android

我一开始也用的这个面板，后来试着直接用 Nginx 去反代 docker 容器之类的，其实配置也挺简单，写了个文章记录 https://yanh.tech/2024/09/tutorial-of-nginx-reverse-proxy-and-redirection/

kekylin

198 天前

推荐直接使用 Nginx ，加个访问地理位置限制，比如限制国外 IP 访问。
参考教程（打开链接下拉在教程汇总）： https://github.com/kekylin/Debian-HomeNAS

如果说对配置不熟悉，可以部署 Nginx-UI ，这个面板可以给 Nginx 提供可视化配置管理，还有 SSL 证书自动续签等功能，面板与 Nginx 是分离的，互相独立。
项目地址： https://github.com/0xJacky/nginx-ui

如果需要监控访问流量，访问来源等数据，还可以部署一个 NixVis ，轻量级 Nginx 日志分析工具，以可视化界面展示访问数据。
项目地址： https://github.com/BeyondXinXin/nixvis

jiayouzl

198 天前

明显服务器被扫了，跟 nginx proxy manager 有毛关系。

sfdev

198 天前

跟 nginx proxy manager 没关系

tunggt

198 天前

一小时 20 次，多吗？
你服务器哪天不受到攻击的。

PatchouliTC

197 天前

NPM 是给完全小白用的，但凡你需要一些微调 diy 配置 NPM 就是受大罪；
真希望用 GUI 处理不如隔壁的 nginx-ui ，至少每个配置都是可以手搓，而且类似 nginx.conf 或者需要第三方 module 你可以直接 clone git 自己写 dockerfile 去弄；
最多就是 certbot 整的烦，可以用 nginx-certbot 这个项目，纯 nginx ，就是加了个读取配置文件自动识别 https 然后帮你去自动续签
最后或者就是用 caddy

bao3

197 天前

我推荐你一个安全的方法，用虚拟机支持群晖，然后在虚拟群晖，系统自带了安全可靠的反向代理，也可以用群晖来申请证书。这样直接就实现同一个端口，绑定 N 个域名，然后 https 访问。

这个方式安全稳定，可靠。

MarkP

197 天前

个人愚见，如果一定要用这种 nginx 管理器的话，还不如用宝塔或者 1panel 之类的。

canitnamechange

197 天前 via Android

还好，网上更有些部分游戏服务器搭建教程是直接让你开全端口(or 关闭防火墙)

alfawei

197 天前

为何你还能开 80443 端口？这个才是关键不是 npm 的问题

lizhien

197 天前

个人觉得那几个 web ui 都不好用，不如自己手写配置文件

jpyl0423

197 天前

我就公网开 NPM 啊，有啥问题，以前也手搓 nginx 配置，自建服务太多了还是图形化的方便

he1293024908

197 天前

公网就尽量别用 80 和 443 吧，感觉被扫的概率会比自定义端口大很多

yuhuai

197 天前

第一，npm 允许你自定 Nginx Configuration
第二，如果你把面板暴露在外是你的问题
第三，就算你开了 80 和 443 ，这是你内部 Nginx 主机的端口，而不是外部映射端口，如果你外部映射端口有本事开了 80 和 443 ，那也是你的问题
第四，如果你非要跟我们谈安全，你就不要谈什么公网映射端口的问题，直接 ddns ，只允许 vpn 连回专用网，做好内部隔离才是真的

grady8866

197 天前

可以去看 npm 官方文档，对映射的端口有说明。有教程说 80/443 是因申请证书而必须映射出来的吗？“如果用 DNS challenge 的话根本就不需要开 80/433 ，非蠢即坏了。”如果不映射 npm 容器的 80 或 443 端口，客户端应该访问哪个端口来访问经过反代的服务呢？感觉楼主部署时并不清楚所映射端口的具体作用。

- '80:80' # Public HTTP Port
- '443:443' # Public HTTPS Port
- '81:81' # Admin Web Port