『瀚思彼岸』» 智能家居技术论坛

 找回密码
 立即注册
123
返回列表 发新帖
楼主: Brewer

[技术探讨] 我彻底弃用内网穿透了,不是因为内网穿透不好,而是环节越少越好

[复制链接]

40

主题

3056

帖子

1万

积分

超级版主

Nero

Rank: 8Rank: 8

积分
11149
金钱
8042
HASS币
182
发表于 2022-6-6 03:17:19 来自手机 | 显示全部楼层
ciasdmxhxjjpd@c 发表于 2022-6-5 10:14
no, 直接把 8123 开放在公网,分分钟被黑吗?建议限制下访问 ip,限制admin外网登录。 ...

emmm 内网穿透和公网ip放8123本质不是一样的吗?
要安全还是 隧道回家。

https://www.v2ex.com/t/857058
再放一个最近 v2ex 看到的帖子。现在都卷成啥样了。
Nero
回复

使用道具 举报

9

主题

157

帖子

2190

积分

金牌会员

Rank: 6Rank: 6

积分
2190
金钱
2033
HASS币
10
发表于 2022-6-6 08:39:50 | 显示全部楼层
花蟋蟀 发表于 2022-6-5 14:47
你这相当于........能有公网IP的条件谁会用内网穿透

说到点上了
回复

使用道具 举报

0

主题

22

帖子

1203

积分

金牌会员

Rank: 6Rank: 6

积分
1203
金钱
1181
HASS币
0
发表于 2022-6-6 10:29:13 | 显示全部楼层
ghostist 发表于 2022-6-5 23:32
嗯...楼上各位都没中过勒索病毒啊
小弟公司有动态公网,某个9月30日下班的时候图省事,把服务器远程端口开 ...

企业环境根本不是开不开端口这些的问题。内网渗透,大多数原因还是来自其余人员。勒索什么的...断网也是有可能中的。自己做再好,企业一旦有搞不清楚的成员,结果还是一样。至于脱光...现在白帽已经很好了。XP时代那才是一个脱光,攻破一整个内网也要不了多久。社工逻辑加上密码强度不够,最终才造成了被提权。而且...企业只要开放wifi依旧有可能被内网渗透..混杂的网络就更不用说了。现在的梯子其实也在有意无意的泄漏密码,当年大规模邮箱密码泄漏,这才是脱光...根据邮箱来查询历史密码制作字典。网上还有一种东西..密码库,hack共享被攻破的帐号密码+网址。脱光不是一时半会的事情,是暴露在网络上的长期行为记录。环境都是一样的,使用习惯和逻辑才导致出现漏洞....   现在对白黑帽误解很深啊..........
回复

使用道具 举报

17

主题

800

帖子

5744

积分

论坛元老

Rank: 8Rank: 8

积分
5744
金钱
4939
HASS币
0
发表于 2022-6-6 10:35:20 | 显示全部楼层
本帖最后由 sirakawa 于 2022-6-6 10:39 编辑
neroxps 发表于 2022-6-6 03:17
emmm 内网穿透和公网ip放8123本质不是一样的吗?
要安全还是 隧道回家。

+1,所以不公开除了v以外任何端口,有啥需要直接连回家里。

其实还有头两年盛传的那个上海电信把群晖之类的网页端口判定成开网站签承诺书这种。。。
回复

使用道具 举报

16

主题

168

帖子

1409

积分

金牌会员

Rank: 6Rank: 6

积分
1409
金钱
1241
HASS币
0
发表于 2022-6-6 13:26:49 来自手机 | 显示全部楼层
放弃内网穿透没问题,但是说环节越少越好就是不客观了,最起码的一点,各种http服务,每个都单独放开的话,要暴露多少端口,而且http是明文的,你要说ha也能设置走https,但是每个服务都单独部署增加了维护成本,所以加一层nginx反代,统一端口和https,不比你少这一层好?另外有ipv6的情况下我再套一层frp也是有目的的,nginx我是docker部署的,容器里面不支持取到ipv6客户端ip我也不想折腾docker或者宿主机部署nginx,直接再套一层frp就能实现。总之适合自己的就是最好的,你没能力驾驭多个环节就舍弃环节没问题,但直接说是环节越少越好就不客观了。

评分

参与人数 1金钱 +4 收起 理由
trz0332 + 4 同意你的观点

查看全部评分

回复

使用道具 举报

3

主题

45

帖子

264

积分

中级会员

Rank: 3Rank: 3

积分
264
金钱
219
HASS币
0
发表于 2022-6-8 19:40:36 | 显示全部楼层
frp挺好用的,定向反代理8123端口,其他全在内网
回复

使用道具 举报

42

主题

523

帖子

2951

积分

金牌会员

Rank: 6Rank: 6

积分
2951
金钱
2428
HASS币
10
发表于 2022-6-8 19:47:45 | 显示全部楼层
pikaq 发表于 2022-6-6 13:26
放弃内网穿透没问题,但是说环节越少越好就是不客观了,最起码的一点,各种http服务,每个都单独放开的话, ...

一样nginx反代,把HA的端口换了再加上https,纯就感觉套一层安全些,真要讲其实我啥也不懂。。。。
回复

使用道具 举报

9

主题

111

帖子

359

积分

中级会员

Rank: 3Rank: 3

积分
359
金钱
247
HASS币
0
发表于 2022-6-10 15:06:22 | 显示全部楼层
有公网ip谁去用内网穿透呢!
回复

使用道具 举报

5

主题

90

帖子

429

积分

中级会员

Rank: 3Rank: 3

积分
429
金钱
339
HASS币
0
发表于 2022-6-11 10:23:45 | 显示全部楼层
yinghu183 发表于 2022-6-8 19:47
一样nginx反代,把HA的端口换了再加上https,纯就感觉套一层安全些,真要讲其实我啥也不懂。。。。 ...

同样Nginx反代+改端口+https。ssh改端口+用秘钥对登录
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Hassbian

GMT+8, 2024-11-28 20:47 , Processed in 0.079774 second(s), 30 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表