这是一个创建于 367 天前的主题,其中的信息可能已经有所发展或是发生改变。
只考虑方案,不考虑其他外在因素。
1 、云服务器安装 Tailscale / ZeroTier + Nginx ;
2 、云服务器安装 Tailscale + ACL + Nginx ;
3 、DDNS + 端口;
4 、DDNS + CDN ;
5 、FRP ;
6 、其他方案,请说明。
 |
1
xbird 2023-10-22 19:54:25 +08:00
内网反向穿透+端口碰撞连接
|
 |
2
zhcode 2023-10-22 19:59:37 +08:00
wireguard
|
 |
3
Tink 2023-10-22 20:17:57 +08:00
最安全必然 cf tunnel
|
 |
4
makelove 2023-10-22 20:22:38 +08:00
服务装虚拟机里?
|
 |
5
thinkm 2023-10-22 20:27:10 +08:00
都一样,反正只暴露服务端口
|
 |
6
a282810 2023-10-22 21:38:02 +08:00
cf tunnel +1
|
 |
7
misadonfdfl OP |
 |
8
asdgsdg98 2023-10-22 21:50:10 +08:00
最安全肯定防火墙,入站全 drop ,只留需要的 ip 或者 ip 段
|
 |
9
ROYWANGDEV 2023-10-22 22:52:33 +08:00
我的方案:
无论 DDNS 域名还是服务域名,都使用三级或四级域名,只暴露一个公网端口,然后通过 NGINX 做流量转发,到不同的内网服务端口并且开启 NGINX Auth ,外面套一层 CDN ,回源 DDNS 域名仅允许 CDN IP 访问。 当然这样也未必安全,但是普通用户的话,我想应该够了吧。。。。。。 |
 |
10
F798 2023-10-22 23:11:56 +08:00 via iPhone
蒲公英旁路由?
|
 |
11
DataSheep 2023-10-22 23:12:58 +08:00
cloudflare tunnels + zero trust, 目前是这套
|
 |
12
wipbssl 2023-10-23 00:14:08 +08:00
我用方案 2 ,不过代理服务器用的 caddy
|
 |
13
cnbatch 2023-10-23 02:30:58 +08:00
搞个 DMZ (真正的 DMZ ,企业常用的那种)
提供服务的机器划分到单独的网段,开端口映射到这台机器(任意方式均可) 再加个防火墙规则,不允许这台机器主动访问另一个内网 |
 |
14
dangyuluo 2023-10-23 05:34:12 +08:00
暴露给你自己,还是所有人?不同情况下“最安全”有不同的定义
|
 |
15
littlecap 2023-10-23 07:45:35 +08:00 via iPhone
内网堡垒机怎么样?
|
 |
16
fruitscandy 2023-10-23 08:25:07 +08:00
iptables -A INPUT -s aaa.bbb.ccc.ddd -j ACCEPT
iptables -P INPUT DROP |
 |
17
yukinomiu 2023-10-23 10:34:55 +08:00
wireguard
参考企业的方案, 要访问内网服务, 都要 VPN 到内网去. VPN 你可以用 wg, 简单好用 |
 |
18
carrionlee 2023-10-23 10:38:15 +08:00 via iPhone
我是直接 v2ray 连回家,内网 ip 地址访问
|
 |
19
leefor2020 2023-10-23 11:30:07 +08:00
我是 IPSec 连回去,证书+密码验证
我感觉个人用的话算安全了 |
 |
20
Proxy233 2023-10-23 11:31:00 +08:00
frp + 自己写的 frpm.php ip 白名单校验,白名单 ip12 小时有效
``` {"fun":"NewUserConn","in":{"version":"0.1.0","op":"NewUserConn","content":{"user":{"user":"xxx","metas":null,"run_id":"xxxx"},"proxy_name":"xxx.ssh","proxy_type":"tcp","remote_addr":"x.x.x.x:58558"}},"out":{"reject":true,"unchange":false,"reject_reason":"remote ip not in .frps.pass.json"}} {"fun":"NewUserConn","in":{"version":"0.1.0","op":"NewUserConn","content":{"user":{"user":"xxx","metas":null,"run_id":"xxxx"},"proxy_name":"xxx.ssh","proxy_type":"tcp","remote_addr":"x.x.x.x:50389"}},"out":{"reject":false,"unchange":false,"reject_reason":"validity period: 1day 23hour 59minute 44second "}} ``` |
 |
21
ccadb 2023-10-23 12:49:28 +08:00
wireguard+1
|
 |
22
hywelI 2023-10-23 16:09:15 +08:00
苹果生态 可以用 surge ponte
|
 |
23
superchijinpeng 2023-10-23 16:13:53 +08:00
cf tunnels
|
 |
24
etnperlong 2023-10-23 17:05:47 +08:00
这是我自己的方案 有两个机器分别是这样的 运行稳定了很久
有公网 IP:WireGuard 没公网 IP:CF Tunnels |
 |
25
tvirus 2023-10-23 17:09:55 +08:00
cf tunnel 最安全
VPN 相比 cf tunnel 还要暴露端口 |
 |
26
tankren 2023-10-23 21:14:11 +08:00
我用 ddns+traefik ,pfsense 做防火墙只有白名单的 IPv6 网段才能通,IPv4 443 自带天然防火墙
|
 |
27
codingBug 2023-10-24 08:07:58 +08:00 via Android
我用的 FRP ,可以设置密码。CF tunnel 的问题是不太稳定,其他方案没试过
|
 |
28
PXW139 2023-10-24 11:34:59 +08:00
https://www.v2ex.com/t/984699
正好就是看到你这个问题才想起来写的东西 |
 |
29
dasf53adf 2023-10-24 16:35:49 +08:00
FRP 的 STCP 功能最安全。
|
 |
30
qingshengwen 2023-10-24 16:45:42 +08:00
@carrionlee #18 +1 ,目前也是这个做法,但是使用中一直有一个问题,就是 ssh 内网的服务的时候,走本地 socks 代理,但是经常用着用着 ssh 就断开了,不知道原因在哪里。(不是超时的那种,有启用 ssh keepalive ,具体报错:Remote side unexpectedly closed network connection )
|
Select Language