群晖 DSM 开启外网访问（DDNS）有被黑的朋友吗

以前没有封禁 443 的时候干过，没有感知到被黑，可能是没有用默认端口吧

我的黑群晖自带防火墙默认没规则，非常危险，公网甚至能直接 samb 。所以需要添加全部禁止规则和自己的放行规则。规则一定要注意排列顺序，把 ssh 和 http 、https 开放的顺序放在禁止全部之前，以免彻底无法访问。不放心就把 ssh 和 http 拖放在全部禁止一前一后，确定好顺序后再调整，切切。

折腾下路由 装个 op 透过 op 去配置防火墙和开启 DDNS 。这样比较妥当。

我家里的路由器需要配置开放端口，目前只开放了 ssh 非密码登录，网页用 ssh port forward 转发

我只转发了一个 5000 端口给群晖，感觉除非群晖 dsm 网页登录有漏洞（几率很小），不然不会被外网黑。

没必要这么复杂吧，关闭 ssh，然后设置 72 小时内输错两次密码封禁 IP 就好了

@zjsxwc 那我觉得 https 还是必需的

@snable 你是把群晖设置成了 DMZ 主机了

@snable 你可以只做必要服务的端口映射就可以了啊

@henryshen233 https+只转发一个非常规的高端口给群晖，被黑的可能性比较小。

都有公网 ip 了， 建议只在群晖上面开启一个 openvpn 端口吧，连上之后就变成了内网，访问什么都方便。

群晖这种存储了很多资料的服务器，如果某天爆出了一个 0day，很多暴露在外面的都会被一锅端。

@henryshen233 我是 ipv6 绑定域名，不算 DMZ 吧。映射也可行，但是我要的端口比较多，也怕有其他 bug 。

申请证书开启 https，然后我的软路由开防火墙映射端口，5000 和 5001 以及 9091 （ transmission ）都映射到其他端口上，ssh 直接不开，或者开的话不映射端口，只能内网机器访问。很久没有封锁通知了。

还是 vpn 回去安全。谁知道群晖验证安不安全呢

@angryfish 群晖的话既然用了肯定选择相信的，就是 DSM 的漏洞这个问题，因为之前有 Synolocker 等等这些病毒。当然没有绝对的安全，想问问 V 友们是否有遇到这些情况

@henryshen233 谢谢提醒，我把 5001 端口也转发了，改 https 访问。

现在被我封锁的 ip 已经 400+了

Docker 跑了 DDNS 解析到 Cloudflare 上，路由器端口只允许默认的 WEB 界面（ 5001 ）端口通过。
没有感知到被黑。日志里也没有奇怪的访问。

之前有大量的尝试登录，后来把默认的 5000 和 5001 改成其它的就没有了

@Sharuru ssh 开了嘛。

密码忘了，把自己封禁的算不算

@Raynard 你有点厉害的

@Sharuru 5001 建议改成高端口好点

做了 ddns 之后有大量登录失败的日志，开了限制登录次数

目前还有更安全的办法吗？

开了两步验证，感觉还好！
http://kokomo.gicp.net:5000

我目前用了另外一种方法：
路由器映射端口 -> caddy server (绑定域名) -> 反代 NAS

这样只有使用正确的域名才能访问进来，仅仅端口扫描是无效的。

@luyan VPN 比较安全

@kokomo 还是要配置 https 比较好

@vibbow 好复杂，暂时不懂

@vibbow 我也没看懂

自定义端口 /fail2ban/SSH 禁密码登录 /2FA/https，t 长期挂公网上五六年了，还没有被干掉过。
当然 VPN 更安全，但是不方便。

一直都是 vpn 回去内网访问的。
端口直接映射暴露的话，如果 web server 或者群晖的 web 应用有漏洞就会中招。

5000 5001 5005 5006 还有 ftp，一些 pt 端口都开着，很久没有封锁通知了。
偶尔也会看下日志，ssh 去看进程。感觉应该还是比较安全的。文件都是以电影为主，也不会太担心。

天天有人扫，起码要改个端口，免得被一锅端

改了默认端口，登陆邮件通知。。狠一点可以搞二步认证，要么就搞个有固定 ip 的跳板反代，群晖只白名单那个 ip

防火墙，非中国 ip 自动 ban 掉也是可以的，哪有绝对安全，就看你想付出些什么代价去保证安全。要是最最最合适就 Quick Connect+二步认证，把命交给群晖。

5000 的端口在公网，没被爆破过，22 端口有一次忘记关了，被国外的 ip 爆破了，不过密码错 3 次被禁封了