首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
V2EX  ›  宽带症候群

暴露公网 IP 有哪些防护措施?

  •  
  •   dingdangnao · 76 天前 · 5131 次点击
    这是一个创建于 76 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近管电信要了公网 IP,把家里的群晖暴露在公网上了,然后收到一些触发登录封锁的通知,

    image

    因为也想在公网有相对完整的体验,把所有端口都转发出去了,

    目前设置了登录封锁 和 防火墙,用户密码也相对复杂,想问问还有没有其他手段能有效阻止攻击什么的?

    image

    image

    第 1 条附言  ·  76 天前
    所有端口的意思是所有需要用到的端口😂有歧义了
    40 回复  |  直到 2019-09-30 16:31:11 +08:00
        1
    trepwq   76 天前 via iPhone
    不用标准端口可以减少很多麻烦
        2
    cwbsw   76 天前
    在外面用 VPN 连回来,除此之外的端口都关了。
        3
    0DBBFF   76 天前   ♥ 1
    "因为也想在公网有相对完整的体验,把所有端口都转发出去了" 你也是心大
        4
    wogong   76 天前   ♥ 1
    幸福的烦恼,没有公网只能用 tinc/wireguard 之类的就不用担心这个。感觉这个就像公网 VPS 各种被扫一样,开了密钥登录 /非默认端口 /fail2ban 之类剩下的就只能忽视日志中的登录尝试了。
        5
    932279632   76 天前
    现在公司也有一台群辉,能教教咋使用吗?主要使用备份功能呢。。。
        6
    wccc   76 天前
    牛逼 我只开放 ssh nextcloud 以及 httpproxy openvpn 端口
    上班笔记本都是 openvpn 连回家里 上内网
        7
    MonoLogueChi   76 天前 via Android
    三个端口就够用了
        8
    wazon   76 天前
    改掉 SSH、FTP 等的常用端口即可
        9
    cyang   76 天前
    你远程连群晖是通过 SSH 的?不是通过 https 设置个非常用端口?
        10
    opengps   76 天前 via Android
    所有端口??别闹,生产服务器都是只开放用到的端口!!!
        11
    swieer   76 天前
    不要用 admin 账号
        12
    fatelight   76 天前   ♥ 1
    两步验证
        13
    her100   76 天前
    我想知道怎么获得公网 IP
        14
    carrionlee   76 天前 via Android
    开个反代服务器
        15
    Crusader   76 天前
    把所有端口都转发了。。。
        16
    Mac   76 天前
    改默认端口可以避免 99%的攻击
        17
    badcode   76 天前 via Android   ♥ 1
    @her100
    家里的联通,打电话说家里的监控系统需要公网 ip
        18
    oul   76 天前   ♥ 1
    群晖的话设置二次验证,停用 admin 账户,改常用端口号。
        19
    Untu   76 天前 via Android   ♥ 1
    禁止 root 账号登录,使用 sudo,修改常用服务嗯端口,尤其是 ssh 不然会天天被爆破
        20
    jzphx   76 天前
    群晖只暴露 http 端口,开启 fail2ban 安全性还是可以的
        21
    dier   76 天前
    SSH 禁用密码登录,改端口号。
    必须要密码登录的密码强度一定要高,只要记得住,越复杂越长越好
        22
    sadfQED2   76 天前
    只暴露必要端口,其他需求通过 vpn 连回去,你根本不知道你哪个端口哪个服务上面可能有漏洞,这你就直接全暴露了?
        23
    dingdangnao   76 天前
    @dier 没找到群晖怎么禁用 ssh 密码,我开了 sftp 好像必须要开 ssh ?密码应该算复杂了。吧。
        24
    lanternxx   76 天前
    群晖别用默认的 5000 5001 端口
        25
    xxq2112   76 天前 via iPhone
    首先不回应 Ping,然后避开默认端口
        26
    geekvcn   76 天前
    因为也想在公网有相对完整的体验,把所有端口都转发出去了,你这习惯神仙都救不了,人家想尽办法关闭非需要端口,各种改常规端口号,禁 Ping,你倒好反着来,什么习惯啊,为什么要转发所有端口才叫完整公网体验,谁教你的?
        27
    darksword21   76 天前
    所有端口。。
        28
    roryzh   76 天前
    shodan
        29
    flyfishcn   76 天前   ♥ 1
    SSH 用证书密钥登录,关闭密码登录或者设置非常复杂几乎不可能破解的密码,再配合失败封禁。就可以放心对公网开放,一般除非有溢出提权漏洞,不然基本很安全。
        30
    liuqi0270   76 天前
    nat 设置 out interface ! Lan。可以获取访问真实 IP 而非你的网关。然后按策略 ban 攻击 IP。不过遮掩设置内网不能访问你的公网地址。
        31
    alphatoad   76 天前 via iPad
    我的做法是用跳板机直接获取公网 IP,fail2ban 自动封 IP,ssh 禁密码,http 用 nginx 反代到 real server
        32
    alphatoad   76 天前 via iPad
    唯一的问题是,synology 的自动封 IP 功能似乎会无视 X-Forward header 而只认源 IP
        33
    liuqi0270   75 天前
    @alphatoad x-forward heard 带过来的不就是源 IP ?不是你的代理 IP 或网关 IP。封了有啥问题?
        34
    alphatoad   75 天前 via iPhone
    @liuqi0270 我的意思就是会无视 x forwarded 而把代理服务器 IP 给封了
        36
    liuqi0270   74 天前
    @alphatoad 那在反向代理里把相关配置更好就行了
        37
    Chingim   74 天前 via Android
    上 https 没?不然密码再复杂也没鬼用。

    我也暴露在公网了,不过只对公网开放 443 端口。ssh 权限太大,而且日常使用也不需要,只能在内网访问。

    路由器也开了 443
        38
    JoeoooLAI   71 天前
    quick connect 可能是最安全最不折腾的了
        39
    Ruslan   71 天前
    我是 SSH 端口不暴露给公网,然后管理员账户开了两步验证。
        40
    siparadise   66 天前
    不是类似 443 转 6549 之类的,还是你直接原端口转出去了
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1017 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 27ms · UTC 19:46 · PVG 03:46 · LAX 11:46 · JFK 14:46
    ♥ Do have faith in what you're doing.