公网映射 NAS，如何保证安全

只开放反代端口就行，老生常谈的强密码+MFA 都整上，就不用操心了，其实某种程度上更应该操心的是你局域网的牛鬼蛇神

WireGuard 的安全是我即使公网可达，对方也无法发现我。比如我把我的 WireGuard 的公网 IP 和端口直接告诉你。除非我明确告诉你我的确在该端口，运行了 WireGuard 服务。否则你是无法感知的。即无法探测。

这是 WireGuard 基于 UDP 的优势，相对于 OpenVPN 、FRP 、NPS 等 TCP 方案的优势。

至于直接暴露服务，然后加个密码作为认证即安全的场景。这已不是同一个层面的讨论了。

坚决不上公网，利用组网回家或者利用 ss 打洞回家。

最后不要买 dxp4800 ，可以买 dxp4800plus 。

不暴露管理服务 仅转发应用

一直在使用群晖的自带的反向代理，然后防火墙禁止国外 ip ，暂时没事

cloudflare access 邮箱验证 + 双向证书认证

可以考虑 IPv6+https+高位端口+备案域名+系统防护+应用防护

IPv6：利用超大地址空间的优势，防止被外部扫到。BT 等会主动暴露 IP 的服务可以分配单独 IP 。
https：避免明文被刺探。现在有很多免费、自动化的更新方案。
高位端口：避免常用端口被封，或者被扫（配合防火墙）
备案域名：减少被运营商针对的风险（不一定合规，但备案比不备要好）
系统防护：防火墙只开放有必要的端口，避免应用配置错误。阻断重试密码、扫端口等敏感操作。
应用防护：开放公网的应用本身要有安全机制，不能没密码、弱密码或有重大安全漏洞。

@MADBOB 把 5001 端口改了就更好了

我直接 ipv6+ DDNS+ https ，默认端口，相比你们说的安全，几乎是裸奔状态。

自荐一下，用我的 natnps 内网穿透，针对 IP 授权，未授权的 IP 访问 web 需要输入密码。网址：natnps.com

服务放 docker 里，服务不用默认端口和弱口令，定时更新 docker ，再反代就解决 90%黑客了，剩下就看你的价值了

搞个 ss wireguard 连回去完事了

我还有远程桌面需求。也不知道安全不安全？

frp 的 stcp

歪个楼，类似情况：

1. 家里宽带搞了个固定 ip ，如果在家里部署群晖 nas ，如果做到在外部安全访问？
2. 家里的网络英国如何设计和配置，隔离外网访问内部网络设备？

Tailscale 和 frp

你在防火墙里只开放 docker 服务的端口不就得了。docker 逃逸的 0day 漏洞应该轮不上你

“目前还有绿联官方的中转服务器可以利用（会尝试 P2P 打洞），不过需要手机号认证，只能作为迫不得已的备选的方案。”
这个敏感点说实话还挺莫名其妙的。。。毕竟你的初衷是让家人用起来方便，你不会用 VPN 的家人早就把手机号提供给国内所有的服务商了，为啥你会觉得方便家人使用的 NAS 就一定要规避手机号呢。实际上除非你一直挂着 VPN ，你的 NAS 上网的 IP 也是和身份信息强绑定的。而如果你对 NAS 厂家本身不信任的话，那唯一的选项是别用它家系统

有厂商服务就直接用厂商的...你都不信任厂商了，还用它系统和产品。
并且自己去折腾，安全和方便不能兼容，你还要考虑你家人，那更是只能往方便倾斜。

vpn 啊