暴露内网服务，哪种方式最安全？

内网反向穿透+端口碰撞连接

wireguard

最安全必然 cf tunnel

服务装虚拟机里？

都一样，反正只暴露服务端口

cf tunnel +1

@Tink #3
@a282810 #6

确实。但是速度 有点慢。

最安全肯定防火墙，入站全 drop ，只留需要的 ip 或者 ip 段

我的方案：
无论 DDNS 域名还是服务域名，都使用三级或四级域名，只暴露一个公网端口，然后通过 NGINX 做流量转发，到不同的内网服务端口并且开启 NGINX Auth ，外面套一层 CDN ，回源 DDNS 域名仅允许 CDN IP 访问。

当然这样也未必安全，但是普通用户的话，我想应该够了吧。。。。。。

蒲公英旁路由？

cloudflare tunnels + zero trust, 目前是这套

我用方案 2 ，不过代理服务器用的 caddy

搞个 DMZ （真正的 DMZ ，企业常用的那种）
提供服务的机器划分到单独的网段，开端口映射到这台机器（任意方式均可）
再加个防火墙规则，不允许这台机器主动访问另一个内网

暴露给你自己，还是所有人？不同情况下“最安全”有不同的定义

内网堡垒机怎么样？

iptables -A INPUT -s aaa.bbb.ccc.ddd -j ACCEPT
iptables -P INPUT DROP

wireguard

参考企业的方案, 要访问内网服务, 都要 VPN 到内网去. VPN 你可以用 wg, 简单好用

我是直接 v2ray 连回家，内网 ip 地址访问

我是 IPSec 连回去，证书+密码验证
我感觉个人用的话算安全了

frp + 自己写的 frpm.php ip 白名单校验，白名单 ip12 小时有效
```
{"fun":"NewUserConn","in":{"version":"0.1.0","op":"NewUserConn","content":{"user":{"user":"xxx","metas":null,"run_id":"xxxx"},"proxy_name":"xxx.ssh","proxy_type":"tcp","remote_addr":"x.x.x.x:58558"}},"out":{"reject":true,"unchange":false,"reject_reason":"remote ip not in .frps.pass.json"}}

{"fun":"NewUserConn","in":{"version":"0.1.0","op":"NewUserConn","content":{"user":{"user":"xxx","metas":null,"run_id":"xxxx"},"proxy_name":"xxx.ssh","proxy_type":"tcp","remote_addr":"x.x.x.x:50389"}},"out":{"reject":false,"unchange":false,"reject_reason":"validity period: 1day 23hour 59minute 44second "}}
```

wireguard+1

苹果生态 可以用 surge ponte

cf tunnels

这是我自己的方案 有两个机器分别是这样的 运行稳定了很久
有公网 IP：WireGuard
没公网 IP：CF Tunnels

cf tunnel 最安全
VPN 相比 cf tunnel 还要暴露端口

我用 ddns+traefik ，pfsense 做防火墙只有白名单的 IPv6 网段才能通，IPv4 443 自带天然防火墙

我用的 FRP ，可以设置密码。CF tunnel 的问题是不太稳定，其他方案没试过

https://www.v2ex.com/t/984699
正好就是看到你这个问题才想起来写的东西

FRP 的 STCP 功能最安全。

@carrionlee #18 +1 ，目前也是这个做法，但是使用中一直有一个问题，就是 ssh 内网的服务的时候，走本地 socks 代理，但是经常用着用着 ssh 就断开了，不知道原因在哪里。（不是超时的那种，有启用 ssh keepalive ，具体报错：Remote side unexpectedly closed network connection ）