暴露公网 IP 有哪些防护措施?

2019 年 9 月 20 日
 dingdangnao

最近管电信要了公网 IP,把家里的群晖暴露在公网上了,然后收到一些触发登录封锁的通知,

因为也想在公网有相对完整的体验,把所有端口都转发出去了,

目前设置了登录封锁 和 防火墙,用户密码也相对复杂,想问问还有没有其他手段能有效阻止攻击什么的?

13798 次点击
所在节点    宽带症候群
40 条回复
dier
2019 年 9 月 20 日
SSH 禁用密码登录,改端口号。
必须要密码登录的密码强度一定要高,只要记得住,越复杂越长越好
sadfQED2
2019 年 9 月 20 日
只暴露必要端口,其他需求通过 vpn 连回去,你根本不知道你哪个端口哪个服务上面可能有漏洞,这你就直接全暴露了?
dingdangnao
2019 年 9 月 20 日
@dier 没找到群晖怎么禁用 ssh 密码,我开了 sftp 好像必须要开 ssh ?密码应该算复杂了。吧。
shinciao
2019 年 9 月 20 日
群晖别用默认的 5000 5001 端口
xxq2112
2019 年 9 月 20 日
首先不回应 Ping,然后避开默认端口
geekvcn
2019 年 9 月 20 日
因为也想在公网有相对完整的体验,把所有端口都转发出去了,你这习惯神仙都救不了,人家想尽办法关闭非需要端口,各种改常规端口号,禁 Ping,你倒好反着来,什么习惯啊,为什么要转发所有端口才叫完整公网体验,谁教你的?
darksword21
2019 年 9 月 20 日
所有端口。。
roryzh
2019 年 9 月 20 日
shodan
flyfishcn
2019 年 9 月 20 日
SSH 用证书密钥登录,关闭密码登录或者设置非常复杂几乎不可能破解的密码,再配合失败封禁。就可以放心对公网开放,一般除非有溢出提权漏洞,不然基本很安全。
liuqi0270
2019 年 9 月 20 日
nat 设置 out interface ! Lan。可以获取访问真实 IP 而非你的网关。然后按策略 ban 攻击 IP。不过遮掩设置内网不能访问你的公网地址。
alphatoad
2019 年 9 月 20 日
我的做法是用跳板机直接获取公网 IP,fail2ban 自动封 IP,ssh 禁密码,http 用 nginx 反代到 real server
alphatoad
2019 年 9 月 20 日
唯一的问题是,synology 的自动封 IP 功能似乎会无视 X-Forward header 而只认源 IP
liuqi0270
2019 年 9 月 21 日
@alphatoad x-forward heard 带过来的不就是源 IP ?不是你的代理 IP 或网关 IP。封了有啥问题?
alphatoad
2019 年 9 月 21 日
@liuqi0270 我的意思就是会无视 x forwarded 而把代理服务器 IP 给封了
Phasma
2019 年 9 月 22 日
https://zhuanlan.zhihu.com/p/59488488
liuqi0270
2019 年 9 月 22 日
@alphatoad 那在反向代理里把相关配置更好就行了
Chingim
2019 年 9 月 22 日
上 https 没?不然密码再复杂也没鬼用。

我也暴露在公网了,不过只对公网开放 443 端口。ssh 权限太大,而且日常使用也不需要,只能在内网访问。

路由器也开了 443
JoeoooLAI
2019 年 9 月 25 日
quick connect 可能是最安全最不折腾的了
Ruslan
2019 年 9 月 25 日
我是 SSH 端口不暴露给公网,然后管理员账户开了两步验证。
siparadise
2019 年 9 月 30 日
不是类似 443 转 6549 之类的,还是你直接原端口转出去了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/602433

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX