请问各位如何看待 DDNS+IPv6 环境下的安全问题 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in，那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动，会导致账号被禁用。

这是一个创建于 351 天前的主题，其中的信息可能已经有所发展或是发生改变。

自从 IPv6 这东西普及后，很多人直接用的就是 DDNS+IPv6 直连自己的 NAS 。而似乎 webDAV 和 smb 都不是特别安全。以前说 Ipv6 地址多，黑客扫不过来，可是如果用了 ddns ，这个范围就被缩小了，如果你的域名被人知道了呢？
所以 NAS 的安全性到底该怎么做？开 vpn 或者 zerotier 虚拟组网吧，这个方案其实挺麻烦的，只适合比较专业的人干。

26 条回复 • 2024-01-07 12:23:13 +08:00

1

raysonx

351 天前 via iPhone

我个人建议在直连的情况下配置双向 TLS （ mTLS ）认证，没有客户端证书的一律拒绝连接。

2

AoEiuV020JP

351 天前

有人盯你域名扫的话 ipv 几都不安全，
我是家里路由器只暴露一个 shadowsocks 端口，在外都是用 clash 分流通过这个 ss 端口访问家里内网设备，
nas 自己密码设置好些直接暴露出去也不会很危险吧，

3

wangbin11

351 天前

用 vpn 面板吧，ipv6 开个 udp 端口用于 vpn 其他全部干掉。能过滤很大一部分
www.feishuwg.com,我公网 ipv4 目前这么干的，还没遇到过入侵

4

littlewing

351 天前

DDNS+IPv4 不也一样的问题？

5

YsHaNg

351 天前

蜜罐服务器多攒点 ip block list 把 22 3389 什么的全打开一般点的扫描就会对你真正端口视而不见了

6

bobryjosin

351 天前 via Android

你自己也说了，那只能 nat+vpn 组合拳咯，攻击面最小，入站一律 deny/drop 只开需要的端口，ipv6 除了蹲点打窝，其他的也不太容易被扫，嫌麻烦那就简简单单设个强一点的密码，祈祷自己不被扫。

7

billlee

351 天前

VPN 有什么麻烦，反正都是要开梯子的的，加一条分流规则而已

8

jeesk

350 天前

知道 cloudflared 的认证功能吗？要先访问部署的服务，先认证再访问。

9

jeesk

350 天前

你部署 webdav 非要裸奔，你要是设置个账号密码认证，恐怕也不太好盗取你的资料吧？

10

wheat0r

350 天前

webdav 带 basic auth 的安全性可以吧

11

serafin

350 天前

DDNS+IPv4 和 DDNS+IPv6 安全方面区别不大。认为 IPv4 安全是因为没公网的 IPv4 不对外提供服务。想要安全就 VPN / zerotier 虚拟组网。想要方便就端口直连。折中用内网穿透或者 CF tunnel ，即不安全（相对 VPN ）又不方便（相对直连）。

12

hysjw

350 天前 via iPhone

VPN 一点不麻烦，而且这是最安全最不容易被破坏的方式

13

iamwin

350 天前

完全不怕, 我装了硬件防火墙, 对外只开放 vpn 端口, 并且写了代替 ddns 同步动态 ip 的程序来防止逆向探测

14

DataSheep

350 天前

@serafin CF tunnel 动动手指就可以开零信任，还是挺安全的。

15

kenvix

350 天前

你要是怕域名被扫，大可整个 5wedrf1erg1fsg5eh1845y15uuy5tk1yu55fgg434815fas1c5sb1rtyj1ty1fghj675y1erfgsd5gsd.example.com 这样的域名出来

16

deorth

350 天前 via Android

防火墙？

17

relife

350 天前

现在很多家庭网络分配的 ipv6 都是假公网，根本不能给外部访问 XD

18

HackerTerry

350 天前

@iamwin 大佬牛逼，请问有哪些品牌和型号的硬件防火墙适合家用？
@billlee 我用的是 wireguard VPN 访问内网，可以写分流规则吗？如果可以的话怎么写？

19

abcbuzhiming

OP

350 天前

@iamwin 请问是什么级别的硬件防火墙，多少钱？

@relife 我在别处也看到了类似说法，但是我目前为止，见过典型，移动，联通的宽带 ipv6 ，还没有发现一家是假的的情况，见过的无法从外部访问 ipv6 的问题，多半出在猫的防火墙关不掉上，所以我其实很好奇这种 ipv6 假公网都是在哪里

20

kilvn

350 天前

tailscale 不就行了，有什么好纠结的，webdav 设置密码是常规操作，加上 ts 内网访问没什么问题。

21

ll26571

349 天前

把密码设好就已经能应付大部分的攻击了，哪有那么容易被搞啊

22

que01

349 天前

webDAV 感觉性能有点捉急，动不动就卡，smb 实际上你公网 ip 应该会被封 smb 端口，不连 vpn 你其实也用不了 smb 。。。另外我是用的 ros 在拨号，整体封了国外 ip ，然后做了个防火墙，一扫就封 IP....然后 nat 转发把 nas 暴漏出来这样就还好

23

SiADGRZXoxhpHoL7

348 天前

再买个防火墙，不行就内网再加个入侵检测。再不济就加个网闸。一定有适合你的方案。

24

relife

335 天前

@abcbuzhiming 我这边广东电信是这样的

25

abcbuzhiming

OP

331 天前

@relife 广东电信给的不是公网的 ipv6 地址?能截个图看看不？我没见过这样的

26

benjaminliangcom

305 天前

@kenvix #15 我现在也是有这么做，并且 ssl 证书要用泛域名的，以免泄露，下一步大栓搭建一个 Decoymini 在 www 上看一下被扫的概率

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 3526 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 24ms · UTC 10:40 · PVG 18:40 · LAX 02:40 · JFK 05:40
Developed with CodeLauncher
♥ Do have faith in what you're doing.