中招后，三个局域网全部互联，不再对外开放（仅留着群晖）

fatppmm · 发表于 2023-12-25 11:15

上次中招了勒索病毒后，痛定思痛，把端口都不对外开放（仅留着群晖对外开放）。

有三个房子的公网ip局域网，原来为了方便是端口转发，3389改了下端口号，但最终还是中招了。

现在用open v p n 连接，互联后，任何局域网都可以访问其他局域网的路由器。但关闭了端口转发后，要访问内部机器变成不方便。现在用3种方案来解决：

1）用open v p n，直接连接内网win10，访问内网

2）群晖开放对外，用2层密码，通过群晖chrome访问内网或群晖内安装win7访问内网

3）三个局域网都开着open v p n，必要的时候都可以连接各自的v p n，用于应急。

有人问，为啥要这么多方式，要知道v p n 掉线了，就完蛋，跑到100公里以外的去开下v p n成本太高了。

最近折腾到这里。

大头吃小头 · 发表于 2023-12-25 11:16

只有ipv6 不知道会不会中招

gbawrc · 发表于 2023-12-25 11:28

套上open v p n之后，如果连不上，你无法判断是open v p n问题还是公网DDNS问题，就很麻烦

xsdianeht · 发表于 2023-12-25 11:32

default deny，0.0.0.0就完了

weindy · 发表于 2023-12-25 11:32

跑100多公里。。

不如随身带一台nas再弄个5g的cep吧

fatppmm · 发表于 2023-12-25 11:32

gbawrc 发表于 2023-12-25 11:28
套上open v p n之后，如果连不上，你无法判断是open v p n问题还是公网DDNS问题，就很麻烦 ...

这个很好判断的，主ddns断了，不影响另外两个ddns的

即使另外ddns断了，可以用ip直连，联通ip一般不变

jiangyang123 · 发表于 2023-12-25 11:41

提示: 作者被禁止或删除内容自动屏蔽

xzzfft · 发表于 2023-12-25 11:43

老哥我想问下你的open v是架电脑还是群晖上的。我电脑上的一直整不出来，群晖倒是现成的

V2ELAO · 发表于 2023-12-25 11:49

其实可以试试tailscale或者zerotier组网，安全性勉强还行，就是跑满千兆会有点吃cpu

sanna · 发表于 2023-12-25 11:50

感觉网络挺复杂的，3个局域网
访客、工作、视频？

有详细介绍的话就来抄作业了

kkfnaidon · 发表于 2023-12-25 11:51

留个打洞做最后保底

gbawrc · 发表于 2023-12-25 11:55

xzzfft 发表于 2023-12-25 11:43
老哥我想问下你的open v是架电脑还是群晖上的。我电脑上的一直整不出来，群晖倒是现成的 ...

架路由器上，进路由器就能进家里局域网

zhao137314 · 发表于 2023-12-25 11:56

很多人都这样，我只用v屁n

一江春水向东流 · 发表于 2023-12-25 12:12

3389端口无论是ipv4和ipv6改不改都不应该对外开放，禁止超级管理员账户，自己的账户用强口令

shangyu7 · 发表于 2023-12-25 12:15

对外开个ssh，只用证书登录，应该还算安全吧

ghwwx · 发表于 2023-12-25 12:18

gbawrc 发表于 2023-12-25 11:28
套上open v p n之后，如果连不上，你无法判断是open v p n问题还是公网DDNS问题，就很麻烦 ...

我是在局域网其中的一台机器上装了一个向日葵。

iswangsir · 发表于 2023-12-25 12:55

话说我也是这样。公网IP+DDNS，自定义一个端口转发3389。如果我外网的设备固定，在防火墙里设置只允许源MAC地址的入站流量，是否能解决不安全的问题呢？

oneone1118 · 发表于 2023-12-25 13:03

每天都变个IP 按理来说应该算安全

fatppmm · 发表于 2023-12-25 13:40

jiangyang123 发表于 2023-12-25 11:41
再搞几个内网穿透的 ,ddns.to frp nps这种

好方法，

fatppmm · 发表于 2023-12-25 13:42

xzzfft 发表于 2023-12-25 11:43
老哥我想问下你的open v是架电脑还是群晖上的。我电脑上的一直整不出来，群晖倒是现成的 ...

我一个是在爱快里的，爱快里设置很方便

另外我在华硕路由器上的，自带的，设置麻烦些

fatppmm · 发表于 2023-12-25 13:42

V2ELAO 发表于 2023-12-25 11:49
其实可以试试tailscale或者zerotier组网，安全性勉强还行，就是跑满千兆会有点吃cpu ...

自己能够架设就不用这些了

fatppmm · 发表于 2023-12-25 13:44

一江春水向东流发表于 2023-12-25 12:12
3389端口无论是ipv4和ipv6改不改都不应该对外开放，禁止超级管理员账户，自己的账户用强口令 ...

没用的，远程桌面不能对外开放，开放的话，不论啥端口和密码都会被扫描

fatppmm · 发表于 2023-12-25 13:45

ghwwx 发表于 2023-12-25 12:18
我是在局域网其中的一台机器上装了一个向日葵。

体验太差了，向日葵

fatppmm · 发表于 2023-12-25 13:45

iswangsir 发表于 2023-12-25 12:55
话说我也是这样。公网IP+DDNS，自定义一个端口转发3389。如果我外网的设备固定，在防火墙里设置只允许源MAC ...

能够，但也会被扫描

fatppmm · 发表于 2023-12-25 13:46

oneone1118 发表于 2023-12-25 13:03
每天都变个IP 按理来说应该算安全

不安全的，你一天360个ip，都会被扫描远程桌面端口

bizking · 发表于 2023-12-25 14:09

我的土办法。
访问群辉硬盘资源用webdav。同时群辉冷备份。
访问内网设备。群辉虚拟机+向日葵

rk9999 · 发表于 2023-12-25 14:09

Zerotier逆向版+买个低配云服务，带公网固定2M做根服务器完事儿。平时运行能穿就穿，穿不了就过根服务

三方路由开Zerotier

fatppmm · 发表于 2023-12-25 14:13

rk9999 发表于 2023-12-25 14:09
Zerotier逆向版+买个低配云服务，带公网固定2M做根服务器完事儿。平时运行能穿就穿，穿不了就过根服务
三方 ...

这成本有点高啊，云服务器至少500元一年吧

rk9999 · 发表于 2023-12-25 14:18

fatppmm 发表于 2023-12-25 14:13
这成本有点高啊，云服务器至少500元一年吧

呃....是有点，但是如果，假如，或许，也许，大概，可能你能白嫖到的话，比如我在公司闲置的云服务上挂了一个，Zerotier挂docker，资源消耗很小的。

xzzfft · 发表于 2023-12-25 14:20

fatppmm 发表于 2023-12-25 13:42
我一个是在爱快里的，爱快里设置很方便

另外我在华硕路由器上的，自带的，设置麻烦些 ...

ikuai跟我的tp路由器会导致环路，本来我也是这么搞的。

账号		自动登录	找回密码
密码			加入我们

jiangyang123 jiangyang123 当前离线积分 3056	发表于 2023-12-25 11:41 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
jiangyang123 jiangyang123 当前离线积分 3056
	回复举报

[NAS] 中招后，三个局域网全部互联，不再对外开放（仅留着群晖）

点评