关于外网访问 NAS 安全性问题

你的 NAS 没有前置路由器吗？只开放必要端口就好了吧

@CivAx 有前置路由，目前只映射了几个服务在公网，还是有点慌

nat 打洞+wireguard
不过每次 ipv4 变动要改配置的连接信息

不暴露服务，都通过 OpenVPN 或者 HTTP/Socket5 代理。

两个 nas ，一个开服务，一个装重要资料

套一层 cf ，或者用 n2n 什么组局域网

@Latin 我用域名加 ddns 加 ss 这个方案可行吗

@renmu 套 cf 的主要作用是什么，大佬

frp 到 vps
vps 上 nginx 到 frp
最后套上 CF

纯自用不要上 cf ，证书全部自签就完了。。。
公共证书会公开域名记录。。。

@ntedshen 哥，cf 是什么技术？如何安装？

我的方案是用 softether 给 nat 打洞开 l2tp 和 openvpn 连回本地访问 nas ，如果直接访问，可以考虑楼上说的 cloudflare ，需要自己域名设置。nas 系统或多或少都有点莫名其妙的漏洞，直接外网太吓人了

@heliushao88 啊？都挂上域名了难道不是指的 cloudflare 的 tunnels ？ zerotrust 里照文档搞就完了。。。
要搭 routes 那随便。。。

docker 起个 cf tunnel agent 自己映射 service

我是直接 DDNS ，绕来绕去速度就慢了。

看到你这篇帖子我想到了 OpenGFW 还是很有用的

我 zerotier 连，否则群晖官方 quickconnect 地址连

我自己的

DSM：反向代理暴露到公网，独立的二级域名（通过 IP+端口是不能访问的，因为没暴露端口出去），关闭 Admin ，仅开主账号 DSM 权限，其它家庭账号关闭 DSM 权限，开两步验证，开自动封锁，群晖内定期导入黑名单 IP 。

Webdav：因为没办法通过两步验证保护，这个服务权限太高，能随意浏览我群晖内的数据，因此我没有暴露到公网，外面套一层 VPN （ Wireguard ）使用。

Aira2：
-- WebUI：反向代理暴露到公网，独立的二级域名，无法通过 IP+端口访问，WebUI 添加了 Basic 认证，没认证打不开 WebUI ，也不知道这背后是什么服务。

-- RPC：反向代理暴露到公网，独立的二级域名，无法通过 IP+端口访问，独立的 RPC 密码

qbittorrent / Transmission：WebUI 反向代理暴露到公网，独立的二级域名，无法通过 IP+端口访问，WebUI 添加了 Basic 认证，另外 qb 还有一层独立的登录账号密码；

matrix_synapse：
反向代理暴露到公网，独立的二级域名。知道这玩意的人不多，WebUI 关了，需要特有的客户端才能接入服务，而且我关闭注册，基本上属于完全私有的聊天工具；

Bitwarden：
类似上面 synapse ，反向代理暴露到公网，独立的二级域名。WebUI 关了，只能通过客户端接入私有服务。