暴露公网 IP 有哪些防护措施?

2019-09-20 10:37:42 +08:00
 dingdangnao

最近管电信要了公网 IP,把家里的群晖暴露在公网上了,然后收到一些触发登录封锁的通知,

因为也想在公网有相对完整的体验,把所有端口都转发出去了,

目前设置了登录封锁 和 防火墙,用户密码也相对复杂,想问问还有没有其他手段能有效阻止攻击什么的?

13080 次点击
所在节点    宽带症候群
40 条回复
dier
2019-09-20 15:03:59 +08:00
SSH 禁用密码登录,改端口号。
必须要密码登录的密码强度一定要高,只要记得住,越复杂越长越好
sadfQED2
2019-09-20 15:56:02 +08:00
只暴露必要端口,其他需求通过 vpn 连回去,你根本不知道你哪个端口哪个服务上面可能有漏洞,这你就直接全暴露了?
dingdangnao
2019-09-20 15:56:16 +08:00
@dier 没找到群晖怎么禁用 ssh 密码,我开了 sftp 好像必须要开 ssh ?密码应该算复杂了。吧。
lanternxx
2019-09-20 15:58:45 +08:00
群晖别用默认的 5000 5001 端口
xxq2112
2019-09-20 16:27:45 +08:00
首先不回应 Ping,然后避开默认端口
geekvcn
2019-09-20 16:58:28 +08:00
因为也想在公网有相对完整的体验,把所有端口都转发出去了,你这习惯神仙都救不了,人家想尽办法关闭非需要端口,各种改常规端口号,禁 Ping,你倒好反着来,什么习惯啊,为什么要转发所有端口才叫完整公网体验,谁教你的?
darksword21
2019-09-20 17:18:08 +08:00
所有端口。。
roryzh
2019-09-20 17:20:36 +08:00
shodan
flyfishcn
2019-09-20 18:31:44 +08:00
SSH 用证书密钥登录,关闭密码登录或者设置非常复杂几乎不可能破解的密码,再配合失败封禁。就可以放心对公网开放,一般除非有溢出提权漏洞,不然基本很安全。
liuqi0270
2019-09-20 18:37:51 +08:00
nat 设置 out interface ! Lan。可以获取访问真实 IP 而非你的网关。然后按策略 ban 攻击 IP。不过遮掩设置内网不能访问你的公网地址。
alphatoad
2019-09-20 23:08:57 +08:00
我的做法是用跳板机直接获取公网 IP,fail2ban 自动封 IP,ssh 禁密码,http 用 nginx 反代到 real server
alphatoad
2019-09-20 23:09:47 +08:00
唯一的问题是,synology 的自动封 IP 功能似乎会无视 X-Forward header 而只认源 IP
liuqi0270
2019-09-21 09:01:48 +08:00
@alphatoad x-forward heard 带过来的不就是源 IP ?不是你的代理 IP 或网关 IP。封了有啥问题?
alphatoad
2019-09-21 09:04:40 +08:00
@liuqi0270 我的意思就是会无视 x forwarded 而把代理服务器 IP 给封了
hymzhek
2019-09-22 13:40:12 +08:00
liuqi0270
2019-09-22 14:34:40 +08:00
@alphatoad 那在反向代理里把相关配置更好就行了
Chingim
2019-09-22 19:04:03 +08:00
上 https 没?不然密码再复杂也没鬼用。

我也暴露在公网了,不过只对公网开放 443 端口。ssh 权限太大,而且日常使用也不需要,只能在内网访问。

路由器也开了 443
JoeoooLAI
2019-09-25 14:05:34 +08:00
quick connect 可能是最安全最不折腾的了
Ruslan
2019-09-25 21:14:25 +08:00
我是 SSH 端口不暴露给公网,然后管理员账户开了两步验证。
siparadise
2019-09-30 16:31:11 +08:00
不是类似 443 转 6549 之类的,还是你直接原端口转出去了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/602433

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX