受最近 nas 系统安全漏洞的影响,最近总是想起标题的这个问题。
我个人家里是有 nas 的(白群晖)。为了使用家里的 NAS ,我的方案经理了这几个阶段:
- 群晖自己的 quickconnect ,我个人体验上大部分时间都不能稳定用...
- 使用 frp/nps 等打洞软件,通过中继访问某些端口的服务:当时感觉稍微僵硬一些,必需每个服务针对地配置转发。
- 使用花生壳等商业软件(付费线路):体验下来,不是很稳定,总是时不时地没速度甚至访问不了。
- 短暂地尝试了下 ipv6 访问,但不总是有 ipv6 环境,没怎么深入体验。
- 家庭路由端口转发,直接访问对应的服务。(换了运营商,有公网 IP 了):体验挺好的,现在想想是有些不安全。以及担心被运营商检测到啥 http 服务被封掉。
- 混合使用 wireguard/tailscale ,组网访问。(搬家,用了没公网 ip 的运营上):没公网 ip 的时候 wireguard 不能 p2p ,以及偶尔要更换 udp 端口避免被运营商干扰。tailscale 原本体验不错,但最近一年不知道为啥 p2p 总是失败,速度不太理想(尝试过自建 derp 和付费 derp ,总是碰到零零散散的问题),以及无法和我手机上的翻墙代理共存。
- 家庭部署 ss-server ,翻回家使用各种服务。(又有公网 ip 了):现在用的方案,目前看没啥太大的问题。最近的新闻虽然与我不相关,但是让我稍微有些担心,给 ss-server 重新配了个强密码;
总之,上述是我自己,公网 ip ,运营商是否干扰和封禁,安全和便利性 等方面的一些尝试精力。第 7 种 ss-server 是我目前用的。
目前听说过,但我主观上认为没必要的防护手段有:
- 配置 fail2ban 封锁恶意 ip ;
- 配置 knockd 敲门,防止扫描;
- cloudflare 等提供的 zerotrust 之类的服务
不知道各位 v 友们是否有什么相关的心得体会,建议之类的?安全上还有没有沙坑。
