公网映射 NAS，如何保证安全

我是用 surge 回家的，最好用同类型的 vpn 回家，只开一个 vpn 的端口，不仅是规避公网被扫到的风险，同时也能避免因为开 web 服务被运营商封号的风险

最优解就是开一个 ss/v2 之类的，直接利用已有的分流软件，翻墙&回家一站式解决方案

绑定个域名，根据域名反代回 NAS
域名不对就访问不了

高端口、https 、两步校验、强密码

公网开放，drive 、hyper backup 、web ，用了 20 年了，没碰到什么威胁。
**管理员两步验证、搞好证书、做好 DSM 的防火墙就好、防护内配置好封锁、配置好 smtp 通知**

[img][/img]
[img][/img]

看大家都回复了很多，其实我觉得任何一个措施都会增加系统负担，所以改动量是越小越好

配好防火墙就行了, 放行常用 ip 地址, 其他一律拒绝.
配合组网使用体验更佳

无所谓，只要不把无任何安全防护就能修改系统文件的放出去就行了

waf

软件不足硬件来凑，上 NGFW ，哈哈哈哈。

@luoshengdu 我靠牛的 那时候就有群辉了？

用的爱快自带的 openvpn 连回去，然后所有的都走内网

在家里用 docker 部署一个长亭的雷池 waf 社区版, 然后所有的请求都走 waf 做转发. 能帮助拦截掉大量的国外攻击.

@MADBOB 好吧，谢谢大佬。我用的飞牛，好像没有这个功能

使用 nginx 代理 web 。
访问时判断是否存在 cookie 。如果存在返回正常页面，如果不存在返回错误。
第一次访问 URL 时需要指定路径，如 http://xxx.com/asdf 。其中 asdf 是自定义的字符串，如果存在这个字符串，则保存 cookie
这样只要第一次访问 url 时附带自定义字符串，后续就可以无感访问了

用雷池代理一层就行了

@SenLief 为什么 dxp4800 不能买

我有个不成熟的想法哈，，给 NAS 里面塞满病毒，然后公开，你看行不行

1 、限制省内 IP 可访问，甚至可以限制省内单个运营商 4G 5G 可访问；
2 、使用 QUIC 协议，基于 UDP 的，一般没人扫，当然首先公网地址要禁 PING 。

@dreamingclj m2 只有半速 而且它和 hc550 不太契合