调查贴：你们的 nas 是局域网访问还是公网访问呀？

VPN

我是群辉，开启了管理控制台和 webdav 公网访问，DDNS 。不过更换了端口+使用高强度密码。

感觉 mac 上 webdav 不怎么样，所以现在更多是 wireguard 后用 smb 连接访问。（不过不能用 mDNS 了，只能直接用 ip ）

1.内网直接访问。

2.公网也允许访问，VPN Server 建在公有云，NAS 通过 VPN 主动连接公有云的 VPN Server 。

3.VPN Server 的对公网端口设置为特殊高位端口号，加 fail2ban 。

4.VPN Server 关闭 ICMP ，不允许 ping 。但使用特殊高位高端，改为 tcpping 。并且 ping 方要发送特定字符，Server 端才会回应。

5.公有云的 VPN Server 常用端口设置蜜罐。

这种做法，对于个人与小型企业，都已经是万无一失了。

普通黑客的广撒网式的攻击思路，会先进行常用端口扫描，这一步就被蜜罐给拉黑了，更别提后续。

改下错别字：

4.VPN Server 关闭 ICMP ，不允许 ping 。但使用特殊高位端口，改为 TCP-Ping 。并且 ping 方要发送特定字符，Server 端才会回应。

owncloud 的 HTTPS 和 webdav 都开放到公网，保持高频更新，包括系统和应用。

内网穿透，关闭服务器端口，用的时候再开

公网直接访问

局域网+VPN

非必要不建议暴露在公网

公网暴露 wg ，然后远程拨回家访问

公网 DDNS 直接暴露端口

局域网，懒得配置安全问题，所以我买了个海康的小 nas ，把我的文档之类的文件双向同步到海康上面，在外面就直接用海康的 app

公网直连

局域网，在外 wg 组网(innernet)

总有些漏洞是未公开的，暴露到公网的越多越不安全
甚至某天你误开的服务就能被黑，继而破坏整个系统

clash 分流，在外面时内网域名走 vpn 回家，在家时不走 vpn 直连

或者 zerotier/tailscale/wg 组网

vpn + 1

@documentzhangx66 : 请问给 公有云的 VPN Server 常用端口设置蜜罐 有什么常用的脚本或者工具啊 ？

公网 IP + DDNS + 端口转发

公网 IP ，软路由 DDNS ，端口号全用的 30000+以上。目前对外暴漏群晖、openwrt 、博客、plex 、homeassistant 等服务。
目前看群晖上 IP 黑名单能有 2000+的数据，多是欧洲美国的 IP ，目前还没有什么被侵入的迹象

我用的群晖。改了端口，指定高风险国家或地区的 ip 禁止访问，设置密码错误到达指定次数永封 ip ，所有开启外网访问服务 ssl 加密。之前会收到境外 ip 被封禁的邮件，现在已经很久没收到了

@hanguofu

用 nginx 把常用 21 、22 、80 、81 、139 、443 、8080 、8006 等端口，全部监听。

然后写个小程序监控 access.log 和 error.log ，来一个 IP ，封一个 IP 就行。