群晖 DSM 开启外网访问（DDNS）有被黑的朋友吗

以前没有封禁 443 的时候干过，没有感知到被黑，可能是没有用默认端口吧

我的黑群晖自带防火墙默认没规则，非常危险，公网甚至能直接 samb 。所以需要添加全部禁止规则和自己的放行规则。规则一定要注意排列顺序，把 ssh 和 http 、https 开放的顺序放在禁止全部之前，以免彻底无法访问。不放心就把 ssh 和 http 拖放在全部禁止一前一后，确定好顺序后再调整，切切。

折腾下路由 装个 op 透过 op 去配置防火墙和开启 DDNS 。这样比较妥当。

我家里的路由器需要配置开放端口，目前只开放了 ssh 非密码登录，网页用 ssh port forward 转发

我只转发了一个 5000 端口给群晖，感觉除非群晖 dsm 网页登录有漏洞（几率很小），不然不会被外网黑。

没必要这么复杂吧，关闭 ssh，然后设置 72 小时内输错两次密码封禁 IP 就好了

@zjsxwc 那我觉得 https 还是必需的

@snable 你是把群晖设置成了 DMZ 主机了

@snable 你可以只做必要服务的端口映射就可以了啊

@henryshen233 https+只转发一个非常规的高端口给群晖，被黑的可能性比较小。

都有公网 ip 了， 建议只在群晖上面开启一个 openvpn 端口吧，连上之后就变成了内网，访问什么都方便。

群晖这种存储了很多资料的服务器，如果某天爆出了一个 0day，很多暴露在外面的都会被一锅端。

@henryshen233 我是 ipv6 绑定域名，不算 DMZ 吧。映射也可行，但是我要的端口比较多，也怕有其他 bug 。

申请证书开启 https，然后我的软路由开防火墙映射端口，5000 和 5001 以及 9091 （ transmission ）都映射到其他端口上，ssh 直接不开，或者开的话不映射端口，只能内网机器访问。很久没有封锁通知了。

还是 vpn 回去安全。谁知道群晖验证安不安全呢

@angryfish 群晖的话既然用了肯定选择相信的，就是 DSM 的漏洞这个问题，因为之前有 Synolocker 等等这些病毒。当然没有绝对的安全，想问问 V 友们是否有遇到这些情况

@henryshen233 谢谢提醒，我把 5001 端口也转发了，改 https 访问。

现在被我封锁的 ip 已经 400+了

Docker 跑了 DDNS 解析到 Cloudflare 上，路由器端口只允许默认的 WEB 界面（ 5001 ）端口通过。
没有感知到被黑。日志里也没有奇怪的访问。

之前有大量的尝试登录，后来把默认的 5000 和 5001 改成其它的就没有了

@Sharuru ssh 开了嘛。