V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Leslie5205912
V2EX  ›  宽带症候群

家庭公网 ip 下的安全措施

  •  
  •   Leslie5205912 · 2023-06-20 16:02:54 +08:00 · 4260 次点击
    这是一个创建于 541 天前的主题,其中的信息可能已经有所发展或是发生改变。
    宽带换成电信的也有了公网 ip
    路由器拨号下接 esxi 主机 虚拟化 debian windows 等 直接转发的端口只有 windows 445 的 smb 端口 以及为了 nat 设置了 switch 主机为 DMZ 主机
    其他流量还是走 frp 腾讯云 主要的一台 debian ssh 及 nextcloud 端口 和 windows rdp 都在腾讯云上设置了入站 ip 限制(仅公司 ip) 其他范围端口不限制 ip

    debian 目前是 root 弱密码 rdp 是强
    不太懂求问这样够安全不
    第 1 条附言  ·  2023-06-21 09:24:11 +08:00
    非常感谢大家的回复建议 因为昨天下午没看消息今天才看到有这么多 这里统一回复下
    看了大家的建议我准备做如下修改
    1 、路由器 ddns 端口转发 ssh debian 加用户禁 root 并强制密钥登陆并给密钥加密 限制 ip 来源
    2 、路由器 ddns 端口转发 rdp 强密码 限制 ip 来源
    3 、debian 搭 vpn 暴露端口 其他流量都走 vpn
    4 、不再用 frp 也能省个服务器的钱
    5 、大家都提到 smb 安全性 如果转发 smb 端口也存在安全隐患后面我还是走 vpn 过了
    23 条回复    2023-06-30 12:56:43 +08:00
    tulongtou
        1
    tulongtou  
       2023-06-20 16:05:56 +08:00   ❤️ 1
    debian ssh 强制密钥登录就好了,把密码登录关掉。
    Leslie5205912
        2
    Leslie5205912  
    OP
       2023-06-20 16:09:48 +08:00
    @tulongtou 谢谢我改下
    melsp
        3
    melsp  
       2023-06-20 16:16:30 +08:00 via Android
    弱弱问一下 frp 具体干嘛,经常看到,但是没有尝试过,我和楼主挺像的,不过我是 openwrt 做了 esxi 里的主路由,装了 openvpn 再把端口做出去的
    Leslie5205912
        4
    Leslie5205912  
    OP
       2023-06-20 16:26:02 +08:00
    @melsp 我是之前没公网 ip 想内网穿透才用的 (主要就 smb 备用线路、ssh 和 nextcloud )现在虽然有公网 ip 了但是感觉用安全点 毕竟多一层转发也能限 ip
    dullwit
        5
    dullwit  
       2023-06-20 16:38:57 +08:00
    我采用的方式是自建 ss ,只开放 ss 端口,并且家里局域网采用冷门 ip 段。在手机和工作电脑端配置好代理软件就很方便了。
    yqlian
        6
    yqlian  
       2023-06-20 17:18:10 +08:00
    Debian 新建个用户,可以给予 sudo 权限。然后 SSH 禁止 root 登录,平时用这个用户登录,需要 root 再用 su 。该用户再加上证书,禁止密码登陆,只允许证书登录。Linux 就相对安全了。
    neroxps
        7
    neroxps  
       2023-06-20 18:10:16 +08:00 via iPhone
    话说 445 安全吗?感觉还是套个 vpn 或者 ss 最好吧。
    goodryb
        8
    goodryb  
       2023-06-20 18:58:06 +08:00
    有公网 IP 可以不用 frp 了,我的实践经验: 内网有台 Ubuntu 和一台 windows ,以及 nas 上的一堆服务。

    windows rdp 端口转发,Ubuntu ssh 端口转发, 访问其他服务 通过 Ubuntu 走 ssh 端口代理,

    ssh 密钥登录,rdp 强密码,smb 建议不要开放到公网
    HFX3389
        9
    HFX3389  
       2023-06-20 19:13:11 +08:00
    有公网 IP 适合打洞的话还是不要用 frp 了,frp 适合没办法打洞才做内网穿透的
    vitoria
        10
    vitoria  
       2023-06-20 19:13:43 +08:00 via iPhone
    我的做法是 ssh 强制密钥登陆,rdp 不暴露到公网,通过 rdp 隧道转发访问
    vitoria
        11
    vitoria  
       2023-06-20 19:14:12 +08:00 via iPhone
    @vitoria ssh 隧道,打错了
    Jirajine
        12
    Jirajine  
       2023-06-20 19:31:29 +08:00
    不安全。
    任何暴露公网的服务都需要长期维护,别管什么协议爆出个漏洞你就得及时更新系统。
    所有对外端口全部关闭,只留个 VPN ,相对是最安全的。
    NicholasYX
        13
    NicholasYX  
       2023-06-20 21:06:12 +08:00
    建议 DDNS+Open VPN
    weijancc
        14
    weijancc  
       2023-06-20 21:47:20 +08:00
    搭个 vpn
    huaes
        15
    huaes  
       2023-06-21 01:06:21 +08:00
    只要协议没漏洞 20 位以上强密码就可以了,你看着攻击记录不糟心就行
    Leslie5205912
        16
    Leslie5205912  
    OP
       2023-06-21 08:49:13 +08:00 via iPhone
    @neroxps 445 也是端口转发的 考虑平时会给女朋友看剧用 vpn 会有点麻烦
    terrancesiu
        17
    terrancesiu  
       2023-06-21 09:10:37 +08:00
    坚持一个一个原则,减少暴漏面,开放的端口越少越好,端口越高位越好,能为端口设置来源 acl 最好。如果前面做不到,就开 VPN 。或者使用 cf 的一些技术处理。我家有台机器需要长期在外使用 RDP ,如果是从单位连接,我直接做了高位端口映射和 ACL 白名单,因为单位是固定 IP 。其他位置都是通过 WG 再连接。
    yqlian
        18
    yqlian  
       2023-06-21 09:52:17 +08:00   ❤️ 1
    smb 协议用来文件共享么?强烈推荐换成 WebDAV 。有几个好处:
    1. 实际上底层是 https ,还可以加 https 证书,所有流量都经过证书加密,别人抓包都看不到你的内容,密码也不会泄漏。
    2. 可以用 File Zilla Pro 或者 FTP Rush 等支持 WebDAV 的下载工具。速度比 FTP 还快,宽带可以跑满全速。
    3. 可以用 nPlayer 之类支持 WebDAV 的在线播放工具,在外网或者公网可以直接播放视频,带字幕。
    4. 可以用本站推荐的 Ever Play 直接播放内网的 MP3 ,支持歌词显示。
    Leslie5205912
        19
    Leslie5205912  
    OP
       2023-06-21 09:59:31 +08:00
    @yqlian smb 目前就是用来外网用 nplayer 看剧 因为 windows 原生带这个就直接用了当时
    谢谢我也准备改 webdav 了 好像 win10 有自带的我试试 这样端口转发暴露公网应该会更安全点 也不用走 vpn 了
    neroxps
        20
    neroxps  
       2023-06-22 05:15:47 +08:00 via iPhone
    话说 445 安全吗?感觉还是套个 vpn 或者 ss 最好吧。
    @Leslie5205912 看剧套个 webdav 安全很多。至少只能下载不能上传啊。445 有命令通道。隔三差五会爆 0day
    Leslie5205912
        21
    Leslie5205912  
    OP
       2023-06-22 08:05:40 +08:00 via iPhone
    @neroxps 明白了 已改 webdav 谢谢!!
    qzwmjv
        22
    qzwmjv  
       2023-06-25 17:52:33 +08:00
    直接 VPN ,VPN 的成熟度和漏洞挖掘比较充分,那些野生的 docker 服务鬼知道有啥漏洞
    yijiangchengming
        23
    yijiangchengming  
       2023-06-30 12:56:43 +08:00 via Android
    有公网 IP 就不要暴露服务了,我目前使用的是 Wireguard ,暴露的微服务只允许腾讯云 Cdn 回源 IP 访问,这样也能防止运营商探测。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5007 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 06:54 · PVG 14:54 · LAX 22:54 · JFK 01:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.