V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
abcbuzhiming
V2EX  ›  NAS

请问各位如何看待 DDNS+IPv6 环境下的安全问题

  •  
  •   abcbuzhiming · 2023-11-22 17:31:50 +08:00 · 3006 次点击
    这是一个创建于 386 天前的主题,其中的信息可能已经有所发展或是发生改变。
    自从 IPv6 这东西普及后,很多人直接用的就是 DDNS+IPv6 直连自己的 NAS 。而似乎 webDAV 和 smb 都不是特别安全。以前说 Ipv6 地址多,黑客扫不过来,可是如果用了 ddns ,这个范围就被缩小了,如果你的域名被人知道了呢?
    所以 NAS 的安全性到底该怎么做?开 vpn 或者 zerotier 虚拟组网吧,这个方案其实挺麻烦的,只适合比较专业的人干。
    26 条回复    2024-01-07 12:23:13 +08:00
    raysonx
        1
    raysonx  
       2023-11-22 17:36:32 +08:00 via iPhone
    我个人建议在直连的情况下配置双向 TLS ( mTLS )认证,没有客户端证书的一律拒绝连接。
    AoEiuV020JP
        2
    AoEiuV020JP  
       2023-11-22 17:37:21 +08:00
    有人盯你域名扫的话 ipv 几都不安全,
    我是家里路由器只暴露一个 shadowsocks 端口,在外都是用 clash 分流通过这个 ss 端口访问家里内网设备,
    nas 自己密码设置好些直接暴露出去也不会很危险吧,
    wangbin11
        3
    wangbin11  
       2023-11-22 17:41:06 +08:00
    用 vpn 面板吧,ipv6 开个 udp 端口用于 vpn 其他全部干掉。能过滤很大一部分
    www.feishuwg.com,我公网 ipv4 目前这么干的,还没遇到过入侵
    littlewing
        4
    littlewing  
       2023-11-22 17:50:37 +08:00
    DDNS+IPv4 不也一样的问题?
    YsHaNg
        5
    YsHaNg  
       2023-11-22 18:04:06 +08:00
    蜜罐服务器 多攒点 ip block list 把 22 3389 什么的全打开一般点的扫描就会对你真正端口视而不见了
    bobryjosin
        6
    bobryjosin  
       2023-11-22 18:18:03 +08:00 via Android
    你自己也说了,那只能 nat+vpn 组合拳咯,攻击面最小,入站一律 deny/drop 只开需要的端口,ipv6 除了蹲点打窝,其他的也不太容易被扫,嫌麻烦那就简简单单设个强一点的密码,祈祷自己不被扫。
    billlee
        7
    billlee  
       2023-11-22 18:22:03 +08:00
    VPN 有什么麻烦,反正都是要开梯子的的,加一条分流规则而已
    jeesk
        8
    jeesk  
       2023-11-22 21:58:07 +08:00
    知道 cloudflared 的认证功能吗? 要先访问部署的服务, 先认证再访问。
    jeesk
        9
    jeesk  
       2023-11-22 21:58:48 +08:00
    你部署 webdav 非要裸奔, 你要是设置个账号密码认证,恐怕也不太好盗取你的资料吧?
    wheat0r
        10
    wheat0r  
       2023-11-22 23:11:28 +08:00
    webdav 带 basic auth 的安全性可以吧
    serafin
        11
    serafin  
       2023-11-23 00:51:37 +08:00
    DDNS+IPv4 和 DDNS+IPv6 安全方面区别不大。认为 IPv4 安全是因为没公网的 IPv4 不对外提供服务。想要安全就 VPN / zerotier 虚拟组网。想要方便就端口直连。折中用内网穿透或者 CF tunnel ,即不安全(相对 VPN )又不方便(相对直连)。
    hysjw
        12
    hysjw  
       2023-11-23 01:00:51 +08:00 via iPhone
    VPN 一点不麻烦,而且这是最安全最不容易被破坏的方式
    iamwin
        13
    iamwin  
       2023-11-23 01:53:26 +08:00
    完全不怕, 我装了硬件防火墙, 对外只开放 vpn 端口, 并且写了代替 ddns 同步动态 ip 的程序来防止逆向探测
    DataSheep
        14
    DataSheep  
       2023-11-23 09:04:39 +08:00
    @serafin CF tunnel 动动手指就可以开零信任,还是挺安全的。
    kenvix
        15
    kenvix  
       2023-11-23 10:09:15 +08:00
    你要是怕域名被扫,大可整个 5wedrf1erg1fsg5eh1845y15uuy5tk1yu55fgg434815fas1c5sb1rtyj1ty1fghj675y1erfgsd5gsd.example.com 这样的域名出来
    deorth
        16
    deorth  
       2023-11-23 10:27:49 +08:00 via Android
    防火墙?
    relife
        17
    relife  
       2023-11-23 11:33:05 +08:00
    现在很多家庭网络分配的 ipv6 都是假公网,根本不能给外部访问 XD
    HackerTerry
        18
    HackerTerry  
       2023-11-23 12:13:44 +08:00
    @iamwin 大佬牛逼,请问有哪些品牌和型号的硬件防火墙适合家用?
    @billlee 我用的是 wireguard VPN 访问内网,可以写分流规则吗?如果可以的话怎么写?
    abcbuzhiming
        19
    abcbuzhiming  
    OP
       2023-11-23 14:56:25 +08:00
    @iamwin 请问是什么级别的硬件防火墙,多少钱?



    @relife 我在别处也看到了类似说法,但是我目前为止,见过典型,移动,联通的宽带 ipv6 ,还没有发现一家是假的的情况,见过的无法从外部访问 ipv6 的问题,多半出在猫的防火墙关不掉上,所以我其实很好奇这种 ipv6 假公网都是在哪里
    kilvn
        20
    kilvn  
       2023-11-23 16:29:02 +08:00
    tailscale 不就行了,有什么好纠结的,webdav 设置密码是常规操作,加上 ts 内网访问没什么问题。
    ll26571
        21
    ll26571  
       2023-11-24 10:32:16 +08:00
    把密码设好就已经能应付大部分的攻击了,哪有那么容易被搞啊
    que01
        22
    que01  
       2023-11-24 16:43:12 +08:00
    webDAV 感觉性能有点捉急,动不动就卡,smb 实际上你公网 ip 应该会被封 smb 端口,不连 vpn 你其实也用不了 smb 。。。另外我是用的 ros 在拨号,整体封了国外 ip ,然后做了个防火墙,一扫就封 IP....然后 nat 转发把 nas 暴漏出来这样就还好
    SiADGRZXoxhpHoL7
        23
    SiADGRZXoxhpHoL7  
       2023-11-25 11:47:15 +08:00
    再买个防火墙,不行就内网再加个入侵检测。再不济就加个网闸。一定有适合你的方案。
    relife
        24
    relife  
       2023-12-08 10:36:56 +08:00
    @abcbuzhiming 我这边广东电信是这样的
    abcbuzhiming
        25
    abcbuzhiming  
    OP
       2023-12-12 16:30:57 +08:00
    @relife 广东电信给的不是公网的 ipv6 地址?能截个图看看不?我没见过这样的
    benjaminliangcom
        26
    benjaminliangcom  
       340 天前
    @kenvix #15 我现在也是有这么做,并且 ssl 证书要用泛域名的,以免泄露,下一步大栓搭建一个 Decoymini 在 www 上看一下被扫的概率
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   906 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 19:50 · PVG 03:50 · LAX 11:50 · JFK 14:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.