请问各位如何看待 DDNS+IPv6 环境下的安全问题

自从 IPv6 这东西普及后，很多人直接用的就是 DDNS+IPv6 直连自己的 NAS 。而似乎 webDAV 和 smb 都不是特别安全。以前说 Ipv6 地址多，黑客扫不过来，可是如果用了 ddns ，这个范围就被缩小了，如果你的域名被人知道了呢？
所以 NAS 的安全性到底该怎么做？开 vpn 或者 zerotier 虚拟组网吧，这个方案其实挺麻烦的，只适合比较专业的人干。

raysonx

169 天前

我个人建议在直连的情况下配置双向 TLS （ mTLS ）认证，没有客户端证书的一律拒绝连接。

AoEiuV020JP

169 天前

有人盯你域名扫的话 ipv 几都不安全，
我是家里路由器只暴露一个 shadowsocks 端口，在外都是用 clash 分流通过这个 ss 端口访问家里内网设备，
nas 自己密码设置好些直接暴露出去也不会很危险吧，

wangbin11

169 天前

用 vpn 面板吧，ipv6 开个 udp 端口用于 vpn 其他全部干掉。能过滤很大一部分
www.feishuwg.com,我公网 ipv4 目前这么干的，还没遇到过入侵

YsHaNg

169 天前

蜜罐服务器多攒点 ip block list 把 22 3389 什么的全打开一般点的扫描就会对你真正端口视而不见了

bobryjosin

169 天前

你自己也说了，那只能 nat+vpn 组合拳咯，攻击面最小，入站一律 deny/drop 只开需要的端口，ipv6 除了蹲点打窝，其他的也不太容易被扫，嫌麻烦那就简简单单设个强一点的密码，祈祷自己不被扫。

billlee

169 天前

VPN 有什么麻烦，反正都是要开梯子的的，加一条分流规则而已

jeesk

169 天前

知道 cloudflared 的认证功能吗？要先访问部署的服务，先认证再访问。

jeesk

169 天前

你部署 webdav 非要裸奔，你要是设置个账号密码认证，恐怕也不太好盗取你的资料吧？

serafin

169 天前

DDNS+IPv4 和 DDNS+IPv6 安全方面区别不大。认为 IPv4 安全是因为没公网的 IPv4 不对外提供服务。想要安全就 VPN / zerotier 虚拟组网。想要方便就端口直连。折中用内网穿透或者 CF tunnel ，即不安全（相对 VPN ）又不方便（相对直连）。

hysjw

169 天前

VPN 一点不麻烦，而且这是最安全最不容易被破坏的方式

iamwin

169 天前

完全不怕, 我装了硬件防火墙, 对外只开放 vpn 端口, 并且写了代替 ddns 同步动态 ip 的程序来防止逆向探测

DataSheep

168 天前

@serafin CF tunnel 动动手指就可以开零信任，还是挺安全的。

relife

168 天前

现在很多家庭网络分配的 ipv6 都是假公网，根本不能给外部访问 XD

HackerTerry

168 天前

@iamwin 大佬牛逼，请问有哪些品牌和型号的硬件防火墙适合家用？
@billlee 我用的是 wireguard VPN 访问内网，可以写分流规则吗？如果可以的话怎么写？

abcbuzhiming

168 天前

@iamwin 请问是什么级别的硬件防火墙，多少钱？

@relife 我在别处也看到了类似说法，但是我目前为止，见过典型，移动，联通的宽带 ipv6 ，还没有发现一家是假的的情况，见过的无法从外部访问 ipv6 的问题，多半出在猫的防火墙关不掉上，所以我其实很好奇这种 ipv6 假公网都是在哪里

kilvn

168 天前

tailscale 不就行了，有什么好纠结的，webdav 设置密码是常规操作，加上 ts 内网访问没什么问题。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/994249

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.