想把 NAS 的服务通过 FRP 映射到公网,只通过域名访问不暴露端口,风险大吗?
本帖最后由 尼特子很辛苦哟 于 2025-12-12 03:01 编辑之前因为 ZeroTier 和 TailScale 都没法打洞成功,配置过 CF Tunnel 速度也很感人。因为手头有个 V P S ,日常延迟大概在 150-200ms 之间,所以考虑通过 V P S 部署 FRP 映射 Nas 的服务到公网
原本我准备采取 Gemini 推荐的方案:用 nginx 做反代,在 cf 配置了 dns 解析,这样用域名直接访问这个服务内容。并且原服务并没有开放相关端口
https://v2ex.com/t/1177457 但是上午看到这个帖子,有点吓到我了,因为准备的方案和这个帖子里的做法基本是一样的。是不是这样配置还是不太安全?
Nas 上部署了 bt webdav 图床 博客 plex 这些业务,这里的服务除了博客以外,访问都必须登录。如果通过 FRP 暴露到公网,会导致我的 Nas 数据有风险吗
更新:花了点时间配置了一下,现在只有经过我的 V P S 的流量才能访问域名,这下应该没啥问题了
本帖最后由 MRhythm 于 2025-12-8 19:32 编辑
不要用常用端口, 自定义冷僻端口
确保热门漏洞及时修补, 多用开源服务端
做好应用层认证
当然实在怕的话可以用之前在云主机管理上修改防火墙白名单, 确保只有你能用
题外话, 单说肉鸡风险的话, 其实改个冷僻端口就能大幅降低了. 扫肉鸡就追求一个成本低, 默认端口默认应用热门exploit撞库试一下,成了就成了不成下一个. 很多漏洞都只针对指定应用的指定版本有效, 不会有人那么闲把你几万个端口和应用的组合都过一遍的. 云主机那边也会有对应防护, 大规模的网段扫描行为很快就会自动给防火墙BAN了
目前看最安全的就是别用ipv4,ipv4很容易被遍历到。ipv6目前还不足以有足够的算力扫描。
换端口,用反代之类的意义不大,因为你的服务其实是暴露在公网上的,现在那种批量扫描工具太多了 暴露到公网肯定是有一定风险的,服务自带登录验证也不一定能拦得住,比如最近闹得很大的 nextjs 漏洞……
博客这种要公开的没办法,其他服务如果只是想方便自己在外访问,可以考虑 tailscale 自建中继啥的,或者 frp 的 stcp 模式
论坛助手,iPhone 你如果纯用ipv6 那还相对好一点
但是你都上域名了 不被人查到就不太可能了
如果你nas上一堆应用 你想全部映射到公网上 而不是通过某个特定管道
我觉得这和把家门钥匙挂门口鞋架上差不多 非常不安全,类似的先例还有:https://stage1st.com/2b/thread-2049444-1-1.html
为什么 ZeroTier 和 Tailscale 组网会失败?最好还是正面解决一下问题,继续用这种成熟的组网方案 5long 发表于 2025-12-8 19:38
非常不安全,类似的先例还有:https://stage1st.com/2b/thread-2049444-1-1.html
为什么 ZeroTier 和 Tails ...
公寓的网络模式决定的,也没法用自己的宽带套餐,感觉没啥很好的解决办法 紧那罗 发表于 2025-12-8 19:30
你如果纯用ipv6 那还相对好一点
但是你都上域名了 不被人查到就不太可能了
那我目前也是CF tunnel把所有业务暴露到公网,这种也很危险吗 有公网ip的服务器直接自建tailscale derp或者用peer relay试试?
论坛助手,iPhone 这圈搞下来不就约等于直接暴露服务,想安全该暴露的东西只有一个 尼特子很辛苦哟 发表于 2025-12-8 19:50
那我目前也是CF tunnel把所有业务暴露到公网,这种也很危险吗
你主楼提到的任何一个服务 没人能保证没有安全漏洞
我随便问一个 你nas上的bt客户端用的哪一个 什么版本 多久更新一次 如果通过这个客户端的入口进来 你的所有数据是不是相当于完全公开 是这样的,我现在已经不暴露端口到外面了……
尤其是docker普及后自己搞一堆服务谁知道哪个就爆雷了……
另外FRP早年好像也曝出了一些问题,不知道是软件原因还是配置错误 本帖最后由 木谷高明 于 2025-12-9 07:03 编辑
布个jumpserver类似的堡垒机最保险(docker一把梭),我司买的新华三的
至于性能开销,为了安全性值不值另说
简单来说就是个跳板服务器,后端可以是Linux/Windows远程桌面/企业级交换机服务器/web页面,甚至是本地部署的大语言模型
浏览器直接打开Windows远程桌面,还支持拖拽文件上传下载挺好的
用一个安全性良好的中转(用户名密码二步验证),访问后端安全性不一定好(甚至有漏洞)的Linux/群晖乱七八糟的
web服务器前面加个waf,比如免费的雷池,或者备案后套大厂cdn的waf 建议只开IPV6,这个一般没人扫
如果非要开V4,那不如直接家宽STUN内网穿透,这样你的端口每隔几天会变,不那么容易被扫到 5long 发表于 2025-12-8 19:38
非常不安全,类似的先例还有:https://stage1st.com/2b/thread-2049444-1-1.html
为什么 ZeroTier 和 Tails ...
不能组网不是很正常,我司就把所有组网软件全封杀了,wss连接发出去就被阻断,我还被检测出来吃了一个警告 frp 用 STCP 模式还是可以的,不用暴露公网 蜇灵 发表于 2025-12-9 09:16
不能组网不是很正常,我司就把所有组网软件全封杀了,wss连接发出去就被阻断,我还被检测出来吃了一个警 ...
具体情况具体分析
楼主说 NAS 上有个 BT 服务,如果已知 BT 都能用,那应该没什么太严格的封禁吧
具体到 Tailscale,他们提供了免费的 DERP 节点来实现转发
流量走的端口是 80 / 443,也就是和浏览器访问网页的端口一致:https://github.com/tailscale/tailscale/blob/main/cmd/derper/README.md
一般只按端口封的防火墙是不敢误杀的
除非是动用了深度包检测(DPI),或者追着节点 IP 去封,那是真没招
---
话说回来,wss 我记得一般是指 443 端口上的 websocket 吧。如果这也要封杀,那岂不是会干扰正常的网页应用。那这也太严格了 本帖最后由 蜇灵 于 2025-12-9 15:54 编辑
5long 发表于 2025-12-9 15:34
具体情况具体分析
楼主说 NAS 上有个 BT 服务,如果已知 BT 都能用,那应该没什么太严格的封禁吧
具体到...
大型国企管你这啊那的,连微信QQ都不让用,一个wss算啥,至于dpi早就是标配了
最搞笑的是泥潭也在黑名单里面,但隔壁nga不在,我是百思不得其解 先不说有没人扫,你一个家宽有http/https入站特征,那就是isp重点关注对象了,改端口就是如同靠识别文件名杀毒一样可笑 moondigi 发表于 2025-12-9 16:07
先不说有没人扫,你一个家宽有http/https入站特征,那就是isp重点关注对象了,改端口就是如同靠识别文件名 ...
家宽有入站不是很正常?现在路由器都自带管理界面和ddns的,只要不是全国各地到处都有流量入站谁管你 我前面看log自己公网机器也是天天被扫ssh和web的,不过ssh挺可靠web用的不是大众项目所以也没事,以前挂wordpress就被黑了。换端口也就扫的人少一点。
实在怕的话,都问gemini了要不干脆让gemini写个要登陆的中间件得了 打洞不成功的话,在云服务器上部署zerotier的中心节点服务器(planet)然后组网,就会退回到通过中心节点转发,性能和FRP应该是一致的,然后所有流量走zerotier内网,起码不是暴露在公网
—— 来自 S1Fun 群晖直接开WebDav,通过ddns,体验很不错。 蜇灵 发表于 2025-12-9 16:14
家宽有入站不是很正常?现在路由器都自带管理界面和ddns的,只要不是全国各地到处都有流量入站谁管你 ...
挺好的证明你那地方真的没人管,我本地群几个群友开个群晖登录页被抓之前也是和你一样自信的,那个年代还没开始借口pcdn抓上传呢 本帖最后由 蜇灵 于 2025-12-10 13:23 编辑
moondigi 发表于 2025-12-10 12:14
挺好的证明你那地方真的没人管,我本地群几个群友开个群晖登录页被抓之前也是和你一样自信的,那个年代还 ...
哪个省这么变态,我看现在一堆人家宽建站都没人管的
而且rdp不也是tls,总不能这都给封了吧 我的情况是家里只有公网ipv6,用的是lucky绑定动态域名,然后添加web服务子规则来开放1个端口给外网,通过不同子域名转发不同服务。
具体可以看看这里https://lucky666.cn/docs/intro
蜇灵 发表于 2025-12-10 13:22
哪个省这么变态,我看现在一堆人家宽建站都没人管的
而且rdp不也是tls,总不能这都给封了吧 ...
http明文的就不说了,tls加密了isp不知道内容但是https入站特征是可识别的特别是tls1.3之前,也就是说在isp那不管换什么端口都知道你在建站还是其他不明tls加密应用
不明流量这种不管你,建站抓不抓就看人家有没这个kpi了,不然为啥家宽起手就禁掉80 443 moondigi 发表于 2025-12-10 15:17
http明文的就不说了,tls加密了isp不知道内容但是https入站特征是可识别的特别是tls1.3之前,也就是说在i ...
没错的,以前ddns+https用了几年屁事没有以为自己天选之人,对什么web服务检测的传言一笑而过,突然有一天就断网了,说我私架网站要求关停,电信可以报出我的域名,解释是自己用的也没用,要去营业厅签个什么保证书,再犯就永久断网电信再也不提供服务 看到这个帖子我去研究了一下各种waf。雷池感觉还行,但arm版的居然要收费,南墙waf不支持arm版,国内唯一支持arm版的是宝塔waf,但不支持docker安装。总之都不太符合我的要求。
突然发现lucky 万吉版自带个 Coraza waf。一键打开就行,试了几个模拟攻击有点效果。但误报率有点高,我正常访问群晖都能给我封了.... Deco 发表于 2025-12-10 15:51
没错的,以前ddns+https用了几年屁事没有以为自己天选之人,对什么web服务检测的传言一笑而过,突然有一 ...
懂了,这就自签几个tplink和asus的证书拿来当域名 Deco 发表于 2025-12-10 15:51
没错的,以前ddns+https用了几年屁事没有以为自己天选之人,对什么web服务检测的传言一笑而过,突然有一 ...
话说你流量大吗? hehehe12589 发表于 2025-12-10 14:19
我的情况是家里只有公网ipv6,用的是lucky绑定动态域名,然后添加web服务子规则来开放1个端口给外网,通过 ...
建议你第一个默认设置改成关闭链接,不然默认返回502特征太明显了 moondigi 发表于 2025-12-10 15:17
http明文的就不说了,tls加密了isp不知道内容但是https入站特征是可识别的特别是tls1.3之前,也就是说在i ...
把tcp全关了只开UDP用HTTP3可以吗? hehehe12589 发表于 2025-12-10 14:19
我的情况是家里只有公网ipv6,用的是lucky绑定动态域名,然后添加web服务子规则来开放1个端口给外网,通过 ...
一样,不过我ipv4和v6都有
——来自HUAWEI Mate 60 OpenHarmony-6.0.1.115(21) 上的 S1 Orange 1.3.3 本帖最后由 roamer 于 2025-12-10 19:33 编辑
用v/p/n+证书,这样才安全 5long 发表于 2025-12-9 15:34
具体情况具体分析
楼主说 NAS 上有个 BT 服务,如果已知 BT 都能用,那应该没什么太严格的封禁吧
具体到...
太正常了,之前我们内部做项目需要wss,结果发现类似的长连接都是失效的,但放外网是好的,一问结果是内部使用服务器不允许使用websoket等类似的长连接,也就是443和80都不允许开放 蜇灵 发表于 2025-12-10 19:13
建议你第一个默认设置改成关闭链接,不然默认返回502特征太明显了
好的,多谢提醒
页:
[1]