写作绅士,读作丧尸 X岛揭示板
顺猴者昌 逆猴者亡 首页版规 |用户系统 |移动客户端下载 | 丧尸路标 | | 常用图串及路标 | 请关注 官方公众号:【X岛揭示板】 官方微博: 【@X岛极速版】| 人,是会思考的芦苇
常用串:·豆知识·跑团板聊天室·公告汇总串·X岛路标

No.60951245 - 无标题 - 技术宅


回应模式
No.60951245
名 称
E-mail
标题
颜文字
正文
附加图片
•程序语言、压制投稿、视频制作以及各计算机领域的技术问题
•我觉得还是CSDN靠谱一点
•本版发文间隔为15秒。

无标题 无名氏 2024-01-23(二)11:16:31 ID:XoE2GfM [举报] [订阅] [只看PO] No.60951245 [回应] 管理
肥哥们,家宽通过端口转发实现外网访问的话,需要做什么安全防护吗
目前有用强密码和反向代理,还需要做什么别的吗( ;´д`)
Tips 无名氏 2099-01-01 00:00:01 ID:Tips超级公民 [举报] No.9999999 管理
♡性♡感♡红♡名♡在♡线♡要♡饭♡
(〃∀〃) https://afdian.com/a/nmbxd
收起 查看大图 向左旋转 向右旋转
无标题 无名氏 2024-01-23(二)11:18:05 ID:XoE2GfM (PO主) [举报] No.60951262 管理
jp
无标题 无名氏 2024-01-23(二)13:31:33 ID:LxyBKlK [举报] No.60952472 管理
做好备份,自求多福( ゚∀。)
无标题 无名氏 2024-01-23(二)13:43:09 ID:EMFijL4 [举报] No.60952556 管理
只要暴露外网就有风险
无标题 无名氏 2024-01-23(二)14:29:37 ID:6KtEMuK [举报] No.60952963 管理
最好用一个独立设备,不放重要资料
无标题 无名氏 2024-01-23(二)14:32:41 ID:8OjyL1x [举报] No.60952987 管理
用证书比密码好,公私钥加密那种
无标题 无名氏 2024-01-23(二)19:34:11 ID:XoE2GfM (PO主) [举报] No.60956687 管理
>>No.60952987
是https那个证书吗,谢谢肥哥,整上了|∀` )
收起 查看大图 向左旋转 向右旋转
无标题 无名氏 2024-01-23(二)19:35:48 ID:XoE2GfM (PO主) [举报] No.60956700 管理
追加jp
收起 查看大图 向左旋转 向右旋转
无标题 无名氏 2024-01-23(二)19:38:15 ID:XoE2GfM (PO主) [举报] No.60956725 管理
再追加
无标题 无名氏 2024-01-24(三)10:10:10 ID:Yw1dHD1 [举报] No.60961640 管理
>>No.60951245
反代/密码设在哪一层也是有讲究的
比如路由器的管理界面常有注入漏洞,攻击者可以直接绕过你设置的强(路由登录)密码;那安全起见就得在反代这一层设置强密码http basic auth(甚至外加tls 客户端证书,客户端服务端双向认证),然后把路由管理界面藏在反代后面
靠谱的反代(比如nginx)密码认证被绕过的可能性相对就很低

但并不是所有的web服务都和带密码的反代兼容(点名批评homeassistant),也不是所有需要外网访问的服务都是http;这种情况下推荐通过wire???rd/tails???e(不确定给不给提这个词) 访问内网地址,而不是在路由上直接转发内网服务端口
虽然这样想要访问内网服务必须先开启wire/tail的客户端很麻烦,但为了安全……
无标题 无名氏 2024-01-24(三)14:32:04 ID:QUQ1DrN [举报] No.60964292 管理
出于安全起见,我这的配置是只对外暴露了反向代理端口,所有的涉及核心内容的(比如智能家居配置,iDrac,ibmc)一类的重要基础服务都是通过V某某访问的。并且还上了一台TL-FW5800防火墙(`・ω・)
无标题 无名氏 2024-01-24(三)23:52:03 ID:XoE2GfM (PO主) [举报] No.60971123 管理
>>No.60964292
硬件防火墙,好专业( ´ρ`)
小肥只是外网看看存在nas上的视频,买不起这么贵的|д` )
无标题 无名氏 2024-01-24(三)23:55:30 ID:XoE2GfM (PO主) [举报] No.60971167 管理
>>No.60961640
肥哥想问问http basic auth这个是怎么设定的,tls客户端证书是要买的吗,小肥只有免费申请的ssl证书(´゚Д゚`)
无标题 无名氏 2024-01-25(四)00:03:16 ID:XoE2GfM (PO主) [举报] No.60971236 管理
>>No.60961640
如果是内网穿透的话,像qbit这样的下载软件会不会别人连不上没办法做种呢(つд⊂)
无标题 无名氏 2024-01-31(三)11:50:32 ID:Yw1dHD1 [举报] No.61049906 管理
>>No.60971167
http basic auth就是最基础的用户名密码验证,直接搜关键词 反代服务器名+http basic auth 就能找到一大堆教程,nginx apache haproxy都支持;用浏览器访问会弹窗要输用户名密码,用不是浏览器的客户端访问的话得往网址里加用户名密码,比如https://username:password@example.com/,但不是所有客户端都支持这么搞

tls client cert可以自建CA自己发证书,用openssl自建CA的教程也很多;服务端设置校验客户端是否提供由自己的CA签名的证书就好(关键词 反代服务器名+客户端证书认证)
无标题 无名氏 2024-01-31(三)12:02:03 ID:Yw1dHD1 [举报] No.61050050 管理
>>No.60971236
没大看明白内网穿透和bt的联系?
如果防火墙默认关闭一切入站连接(V某N端口和反代端口除外)的话,BT能工作,但只能工作一点;你只能和有公网IP并转发了bt端口的peer交换数据,而没法和同样防火墙全堵上/没有公网ip的peer交换数据,很影响bt下载的效率

所以防火墙上还是得开个对外的bt端口(小知识 端口转发优先级>入站防火墙哦 (・ω・))

如果你是说 想人在外面用家里的公网ip上传bt——比如在笔记本上开bt客户端,V某N回家然后用家里的公网IP跑bt的话,还是得建端口转发之类的规则,把某对外开放的端口转发给你V某N客户端IP:端口的组合
无标题 无名氏 2024-02-02(五)19:34:10 ID:7X1QUH8 [举报] No.61084212 管理
( ゚∀。)如果只是在外面看家里设备上的视频的话,我是用的Zerotier。不过我家没有公网ip,所以我还自建了一个planet服务器
无标题 无名氏 2024-02-03(六)11:47:45 ID:YdWBvB8 [举报] No.61092434 管理
>>No.61049906
basic auth是认证而非加密,它做的只是在请求头里附上用户名密码罢了,只要还是http协议就躲不开中间人攻击,甚至中间人同时还能截获你的凭据。
所以在意安全问题的话,公网直连就全局tls,能接受每个客户端都配置一趟v_pn的话就组加密隧道的 v_pn
无标题 无名氏 2024-02-04(日)10:50:44 ID:LypZsBQ [举报] No.61106010 管理
端口开出去一般是允许外部主机向内部发起连接
内部对外发起连接不受影响,而且 BT 还会走 uPnP 动态开端口(你开了的话)
我是建议用 zerotier 之类的回家,http 服务端口暴露出去容易违反宽带用户协议中不允许建站的部分,导致宽带停机

UP主: