想要黑群晖的 5000 端口用 Nginx 反代出来,会有什么安全问题?

没啥问题。。等有问题的时候再改了呗。

NGINX 限制下访问 IP 呗，只允许你常用的 IP 段

5000 不是也要密码登录的吗， 只要密码不太简单，安全性没啥问题吧，
另外 nas 本职是 smb, 手机上随便一个支持的文件管理器就行，不算额外安装软件吧，

没有，密码复杂点。

有个限制 密码错误封锁 ip 设置一分钟错一次锁，开了公网几年目前没事

三年了，没有问题

1. 上 HTTPS SSL 证书
2. 仅你当地的运营商 IP allow ，其他一律 deny ，参考 http://ipcn.chacuo.net/
3. 路径足够随机，足够猜不到
4. 匹配其他路径兜底 301 302 到小米官网、华硕官网，模拟一个路由器出错跳转回官网的现象

上 https 把, 要不然被人家抓到密码就完犊子了

给可以登录 dsm 的用户开启 otp

看到 livid 都发了，我也凑个热闹：
https://www.v2ex.com/t/961711

话说回来，如果选择反代方式的话，建议可以 NPM 做简单些，并且建议两端 SSL （即走群晖 5001 口到你反代，你反代开 HTTPS ）。
另外，也可以考虑用 Cloudflare R2 、百度网盘、OneDrive 、Google 同步，既实现照片多备份又可以方便查看（当然百度网盘的话前提是已经是它的用户）。
再此外，还可以直接用群晖的 webstation 。

总的来说玩法还挺多的

都用 Nginx 了，事情要简单很多开启证书，把默认网站直接返回 444,即你指定域名才能开，只要你不泄露域名只有运营商通过 SNI 才能查到。

listen 80 default_server;
listen 443 ssl http2 default_server;
return 444;

这写法有问题吧，

这写法有问题吧，我觉得应该是这样，不对请指出
location /比较长的随机路径 {
rewrite ^/比较长的随机路径/(.*)$ /$1 break;
proxy_pass http://127.0.0.1:5001;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}

你富强软件总归要装吧
富强的一般都支持 wireguard
搞个不就好了

我在 NGINX,设置了双向 HTTPS 认证,感觉很安全

@leconio proxy_pass http://127.0.0.1:5001/;不用 rewrite

都有公网 IP 了，不如直接开个 VPN 回家好了

用 VPN 最安全，次一点就限制 IP 访问加 http 密码验证

我一哥们，把群晖反代到公网上，没两个星期，上面存的小姐姐全被删了。。。估计是大学生复制时用了剪切。。

@hefish 用户名：admin ，密码：123 ？我从黑群 4.x 开始就开公网访问，到现在 10 来年了，只见撞门的，没见到撞开的

有公网为啥不用 ddns 和 qc http 纯内网用 路由不开 5000

现在一般都 tailscale 子网开下访问内网，或者 netbrid ,个人用前者就行，后者主打免费

没有暴 0day 不是弱口令一般没啥问题，如果是家宽有工信部警告的可能性。

上个 https 吧，再开个 TOTP 两步验证，另外不建议用 admin 账号。

我直接用了华硕路由器自带的 instant guard ，足够简单。