V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
xuegy
V2EX  ›  NAS

给内网电脑开 SSH 的方案

  •  
  •   xuegy · 1 天前 via iPhone · 2933 次点击
    家庭使用,请问这个方案的安全性如何?
    互联网->路由器端口转发->NAS->Caddy(docker)反向代理->FRP(docker)->电脑 SSH(禁用密码)
    还有哪个环节可以加强?
    33 条回复    2025-09-01 16:44:29 +08:00
    sexoutsex2011
        1
    sexoutsex2011  
       1 天前 via iPhone
    互联网 -> Tailscale VPN -> 内网设备 SSH
    imdong
        2
    imdong  
       1 天前 via iPhone
    互联网>VPN>SSH

    或者

    互联网>路由器高位端口转发>SSH(仅密钥)

    搞那些花里胡哨的,没啥用。
    digwow
        3
    digwow  
    PRO
       1 天前 via iPhone
    互联网>frpc>SSH(仅密钥,非 22 端口)
    swiftg
        4
    swiftg  
       1 天前 via iPhone   ❤️ 1
    cloudflare zerotrust ,不暴露端口
    SeaSaltPepper
        5
    SeaSaltPepper  
       1 天前   ❤️ 1
    搞那么多花里胡哨的干嘛, 互联网 -> WireGuard/Tailscale -> 内网任意设备 SSH
    z7356995
        6
    z7356995  
       1 天前 via Android
    直接 ipv6 不行吗,ssh 禁用密码,用 rsa 证书。不要搞那么复杂,rsa 证书没办法破解。
    Ipsum
        7
    Ipsum  
       1 天前 via Android
    Ssh 使用密钥登录,安全性不比 vpn 差。
    wuruxu
        8
    wuruxu  
       1 天前
    在路由器上 开个 wireguard 转发到内网的电脑上,这样很安全
    deepbytes
        9
    deepbytes  
       1 天前
    公网---SSH 隧道(最佳实践的高强度+性能平衡的 FIDO2 实体密钥认证,私钥存在硬件密钥中,2 个硬件密钥相互备份)---NPS 高位随机端口禁用,只在 FIDO2 硬件密钥认证通过时才开放端口被连接,实际公网看不到该高位端口,原因是 ssh 隧道连接可以绕过防火墙策略---家里无公网的 ubuntu 安装 npc 客户端---认证完毕---macOS 中的 RDP 建立连接到家里的 Win11 、win10 等机器。调教好,非常丝滑!已稳定使用 1 年多,稳如狗
    deepbytes
        10
    deepbytes  
       1 天前
    @deepbytes 当然 op 提的 ssh 也是同理,我在家里放了 3 台不同发行版的虚拟机 linux ,通过这个办法,macOS 外网可以爽连内网所有支持 ssh 的机器,win11 我也开了高位的 ssh 端口,可以连接 win11 本机的 ssh 也可以连接 WSL2 里面的 ubuntu
    int80
        11
    int80  
       1 天前 via Android
    花里胡哨的东西不如 port knocking
    最简单高效就用 tailscale
    hwdq0012
        12
    hwdq0012  
       1 天前
    openvpn -> frp -> ssh

    都是证书非对称加密我觉得很 ok ,捂紧裤裆(私钥)就好了
    coldle
        13
    coldle  
       1 天前
    vpn 和 ip 白名单总得有一个
    Pteromyini
        14
    Pteromyini  
       1 天前   ❤️ 1
    内网设备不需要使用穿透的方式暴漏公网服务,使用 sdwan ( zerotier/tailscale/wg/easytier )组网访问是最方便的
    caola
        15
    caola  
       1 天前
    frp -> ssh 加上用 证书 登录,即使对外暴露端口破解率也基本为零
    383394544
        16
    383394544  
       1 天前
    互联网 → 路由器端口转发 → NAS VPN 入口 → 内网 SSH
    你都有公网 IP 还整什么内网穿透
    iomect
        17
    iomect  
       1 天前
    有公网 IP 的话
    最安全的就是 VPN 回家
    不过你用 FRP 看来是没有公网 IP
    那也是只用 FRP 穿透 VPN 的那几个端口 然后 VPN 回家...

    其实没你想的那么不安全 我家公网 IP 十多年了 所有服务全都暴露在公网 从没出过问题
    383394544
        18
    383394544  
       1 天前
    甚至可以 互联网 → 路由器端口转发 → NAS SSH → 内网 SSH
    只要 NAS SSH 那一关够安全就行
    iomect
        19
    iomect  
       1 天前
    @iomect #16 补充一下 实在不放心 就部署个 jumpserver 吧 所有业务全部通过 jumpserver 进
    laminux29
        20
    laminux29  
       1 天前
    互联网 -> SSH 就够了,SSH Server 使用强密码 + 安装 fail2ban + 只接受本地区的 IP ,足够安全。
    xpzouying
        21
    xpzouying  
       1 天前
    直接用 tailscale 即可,

    https://www.haha.ai/derper

    速度有问题的话,可以自建 DERP 加速。
    AkinoKaedeChan
        22
    AkinoKaedeChan  
       1 天前 via iPhone
    当然是 Internet <-> WAF <-> SSH
    e3c78a97e0f8
        23
    e3c78a97e0f8  
       1 天前
    我是直接暴露 SSH ,要求密钥+密码双重验证
    mozhizhu
        24
    mozhizhu  
       1 天前
    我是直接在代理软件上分流内网 IP 走反代家里的节点(国内机器 ss2022 协议)访问,不直接做任何映射;
    totoro625
        25
    totoro625  
       1 天前 via Android
    实际上 ssh 22 端口 禁止密码登录就已经是最安全的
    但是不排除手抖添加了一个简单的用户
    所以我的 frp 服务端加了 ip 白名单,电脑上跑一个 ddns ,服务器从 ddns 获取白名单 ip
    luodan
        26
    luodan  
       22 小时 17 分钟前
    电脑上装个 tailscale 就完事。
    supermama
        27
    supermama  
       21 小时 14 分钟前
    现在有些路由内置了 vpn ,直接用 vpn 就好了。
    7ullSt4ck
        28
    7ullSt4ck  
       20 小时 59 分钟前   ❤️ 1
    easytier
    anubu
        29
    anubu  
       20 小时 10 分钟前
    不认为这么长的一个链条,对安全性有什么帮助,徒增维护复杂度。公网--路由端口转发--内网 SSH 仅密钥认证,这个简单的链条安全性足够了。非要想折腾,fail2ban,MFA 配置一下,稍微增加点复杂度,但对安全性至少是有帮助的。
    mendax2019
        30
    mendax2019  
       19 小时 6 分钟前
    一个强密码足够
    ar16
        31
    ar16  
       18 小时 10 分钟前
    SSH 禁止密码登陆就足够安全了
    yulgang
        32
    yulgang  
       15 小时 23 分钟前
    当然是 互联网 - VPN - SSH 最安全
    Chengnan049
        33
    Chengnan049  
       13 小时 6 分钟前
    只有自己访问的最优解:Tailscale
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   920 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 21:50 · PVG 05:50 · LAX 14:50 · JFK 17:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.