请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
家庭使用,请问这个方案的安全性如何?
互联网->路由器端口转发->NAS->Caddy(docker)反向代理->FRP(docker)->电脑 SSH(禁用密码)
还有哪个环节可以加强?
互联网->路由器端口转发->NAS->Caddy(docker)反向代理->FRP(docker)->电脑 SSH(禁用密码)
还有哪个环节可以加强?
 |
1
sexoutsex2011 29 天前 via iPhone
互联网 -> Tailscale VPN -> 内网设备 SSH
|
 |
2
imdong 29 天前 via iPhone
互联网>VPN>SSH
或者 互联网>路由器高位端口转发>SSH(仅密钥) 搞那些花里胡哨的,没啥用。 |
 |
3
digwow PRO 互联网>frpc>SSH(仅密钥,非 22 端口)
|
 |
4
swiftg 29 天前 via iPhone  1
cloudflare zerotrust ,不暴露端口
|
 |
5
SeaSaltPepper 29 天前 1
搞那么多花里胡哨的干嘛, 互联网 -> WireGuard/Tailscale -> 内网任意设备 SSH
|
 |
6
z7356995 29 天前 via Android
直接 ipv6 不行吗,ssh 禁用密码,用 rsa 证书。不要搞那么复杂,rsa 证书没办法破解。
|
 |
7
Ipsum 29 天前 via Android
Ssh 使用密钥登录,安全性不比 vpn 差。
|
 |
8
wuruxu 29 天前
在路由器上 开个 wireguard 转发到内网的电脑上,这样很安全
|
 |
9
deepbytes 29 天前
公网---SSH 隧道(最佳实践的高强度+性能平衡的 FIDO2 实体密钥认证,私钥存在硬件密钥中,2 个硬件密钥相互备份)---NPS 高位随机端口禁用,只在 FIDO2 硬件密钥认证通过时才开放端口被连接,实际公网看不到该高位端口,原因是 ssh 隧道连接可以绕过防火墙策略---家里无公网的 ubuntu 安装 npc 客户端---认证完毕---macOS 中的 RDP 建立连接到家里的 Win11 、win10 等机器。调教好,非常丝滑!已稳定使用 1 年多,稳如狗
|
|
10
deepbytes 29 天前
@deepbytes 当然 op 提的 ssh 也是同理,我在家里放了 3 台不同发行版的虚拟机 linux ,通过这个办法,macOS 外网可以爽连内网所有支持 ssh 的机器,win11 我也开了高位的 ssh 端口,可以连接 win11 本机的 ssh 也可以连接 WSL2 里面的 ubuntu
|
 |
11
int80 29 天前 via Android
花里胡哨的东西不如 port knocking
最简单高效就用 tailscale |
 |
12
hwdq0012 29 天前
openvpn -> frp -> ssh
都是证书非对称加密我觉得很 ok ,捂紧裤裆(私钥)就好了 |
 |
13
coldle 29 天前
vpn 和 ip 白名单总得有一个
|
 |
14
Pteromyini 29 天前 1
内网设备不需要使用穿透的方式暴漏公网服务,使用 sdwan ( zerotier/tailscale/wg/easytier )组网访问是最方便的
|
 |
15
caola 28 天前
frp -> ssh 加上用 证书 登录,即使对外暴露端口破解率也基本为零
|
 |
16
383394544 28 天前
互联网 → 路由器端口转发 → NAS VPN 入口 → 内网 SSH
你都有公网 IP 还整什么内网穿透 |
 |
17
iomect 28 天前
有公网 IP 的话
最安全的就是 VPN 回家 不过你用 FRP 看来是没有公网 IP 那也是只用 FRP 穿透 VPN 的那几个端口 然后 VPN 回家... 其实没你想的那么不安全 我家公网 IP 十多年了 所有服务全都暴露在公网 从没出过问题 |
|
18
383394544 28 天前
甚至可以 互联网 → 路由器端口转发 → NAS SSH → 内网 SSH
只要 NAS SSH 那一关够安全就行 |
 |
20
laminux29 28 天前
互联网 -> SSH 就够了,SSH Server 使用强密码 + 安装 fail2ban + 只接受本地区的 IP ,足够安全。
|
 |
21
xpzouying 28 天前
|
 |
22
AkinoKaedeChan 28 天前 via iPhone
当然是 Internet <-> WAF <-> SSH
|
 |
23
e3c78a97e0f8 28 天前
我是直接暴露 SSH ,要求密钥+密码双重验证
|
 |
24
mozhizhu 28 天前
我是直接在代理软件上分流内网 IP 走反代家里的节点(国内机器 ss2022 协议)访问,不直接做任何映射;
|
 |
25
totoro625 28 天前 via Android
实际上 ssh 22 端口 禁止密码登录就已经是最安全的
但是不排除手抖添加了一个简单的用户 所以我的 frp 服务端加了 ip 白名单,电脑上跑一个 ddns ,服务器从 ddns 获取白名单 ip |
 |
26
luodan 28 天前
电脑上装个 tailscale 就完事。
|
 |
27
supermama 28 天前
现在有些路由内置了 vpn ,直接用 vpn 就好了。
|
 |
28
7ullSt4ck 28 天前 1
easytier
|
 |
29
anubu 28 天前
不认为这么长的一个链条,对安全性有什么帮助,徒增维护复杂度。公网--路由端口转发--内网 SSH 仅密钥认证,这个简单的链条安全性足够了。非要想折腾,fail2ban,MFA 配置一下,稍微增加点复杂度,但对安全性至少是有帮助的。
|
 |
30
mendax2019 28 天前
一个强密码足够
|
 |
31
ar16 28 天前
SSH 禁止密码登陆就足够安全了
|
 |
32
yulgang 28 天前
当然是 互联网 - VPN - SSH 最安全
|
 |
33
Chengnan049 28 天前
只有自己访问的最优解:Tailscale
|
Select Language