[閒聊] 利用ssh tunnel 連線NAS
其實這個技術一點都不難,只要有ssh-key 再加上一行指令就可以解決
只是連線頻寬會受限,然後或許有一些安全性的考量
作法如下
1. 開啟 NAS 的SSH登入功能
詳細作法請參閱各家NAS 說明書...
2. 用SSH 登入NAS
ssh [email protected]_IP
3. 在NAS上產生 SSH-key
ssh-keygen -t rsa -b 2048
如果不需要再針對sshkey做保護,那就直接按enter跳過就好
4. 在NAS 上輸入以下指令
ssh -R 80:localhost:443 ssh.localhost.run 2>&1
指令中的443 是指NAS的管理界面埠號
以synology 來說就是 5000 (好像是吧) ,QNAP 是多少我忘記了
執行完成後,畫面上會跳出訊息,給你一串網址
開啟那個網址就可以進入你的NAS管理界面
[email protected]:~/git/host$ ssh -R 80:localhost:7777 ssh.localhost.run 2>&1
===============================================================================Welcome to localhost.run!
Follow your favourite reverse tunnel at [https://twitter.com/localhost_run].
**You need a SSH key to access this service.**
If you get a permission denied follow Gitlab's most excellent howto:
https://docs.gitlab.com/ee/ssh/
*Only rsa and ed25519 keys are supported*
To set up and manage custom domains go to https://admin.localhost.run/
More details on custom domains (and how to enable subdomains of your custom
domain) at https://localhost.run/docs/custom-domains
To explore using localhost.run visit the documentation site:
https://localhost.run/docs/
===============================================================================
** your connection id is feadb278-d0b8-4597-a40b-35a1b0fabe45, please mentionit if you send me a message about an issue. **
48b29b1e4d7a42.localhost.run tunneled with tls termination,
https://48b29b1e4d7a42.localhost.run
Connection to ssh.localhost.run closed.
個人分析優缺點如下
優點
1. 不用在你的Firewall/分享器上面開port
因為沒有開port,所以從internet 上,不透過那個URL 是無法存取到你的NAS的
而且那串網址的第一段基本上是個亂數編碼,就算有人針對這個localhost.run
去掃描,也很難能夠找到,再者,這只是一個「臨時」的網址,只能存活數小時
要被攻擊的機率就更低了
如果再搭配上二階段認證,要臨時在外面連回NAS,不失為一個替代方案
2. 不用安裝有的沒的軟體
從頭到尾就都透過SSH這個基本的指令,不需要去管FW上面怎麼設定
缺點
1. 連線頻寬、速度受限
因為連線路徑的改變,所以速度明顯會降低
2. 網址不固定
如果是使用localhost.run的免費服務,那個網址是不固定的
而且只會存在幾個小時,也就是說幾個小時候,這個網址就無法存取了
(不過我昨天測試,一直連線到現在,我的網址都還活著,不知道規則是啥..)
當然,你可以付費申請固定網址,各家業者收費標準不一
localhost.run 最低是3.5 美金一個月吧
如果有付費,那就可以把指令寫入到NAS,開機自動執行
就可以在外面用這串網址連線了
其實我覺得,或許S&Q&A 可以考慮自己弄這種服務
買NAS 就送基本的ssh tunnel service
免費的就用機器的mac或SN作為hostname , 然後只開放受限的頻寬、速率
付費的用戶,就依照等級調高頻寬、速率,然後可以自訂hostname
只是這種服務很吃伺服器的頻寬,這是一筆不小的固定沉沒成本
要從付費用戶收到足夠的費用來cover,我想很困難
然後廠商還要維護這台伺服器,廠商願意這樣做嗎?
而且我已經買NAS了,還要我額外付費換取「更安全」的服務?
那我買NAS幹嘛?我去買google/dropbox/backblaze不就好了?
其實我還有另外一種想法,可以結合SDN,建立一組專屬用戶的VPN
vpn走wireguard方案,外部機器要連線進來,需要使用者允許
不過這個牽涉的就更廣了,就先不提了吧
最近FB那邊跟戰場沒兩樣,還是來這邊比較能夠好好討論
不知道各位對於這樣的作法有沒有什麼想法?
--
嗯...應該沒有人會用吧 網址不固定=無用 其實s a都
有自己的反打洞服務 官網連過去的就是
s官方的反打洞 頻寬給家用很夠用了..id打長一點應該
很難掃到?
quickconnect 是利用UPNP達成的吧?
沒有喔 port , QC 偵測到port有開會轉直連 , 沒有才
會relay
碰到特殊網路擋很多port時還能連
感覺frp比較好用 可以穿nat直連
synology的https管理頁面是5001,直接打443會打到
它架網頁用的web station https
至於5000則是走http的管理頁面
倒數第三段觀念錯誤 你買金庫放了錢 本來就要花成
本另外設保全崗哨 不然被偷了還去怪這個金庫不知道
要長腳躲強盜 邏輯完全說不通
quickconnect跟myqnapcloud在沒有直接對外時 官方
會幫你打洞 所以呢 完全多此一舉
Q是8080/443 S是5000/5001
幫你推,但我是在前端掛一台居易,就可以做vpn serv
er,比較簡單省事
雖然我nas有把8080改掉,但是Q的問題是那個備份套件
HBS3的漏洞
直接frp做STCP不就好了…
你把外對內都封掉 然後用quickconnect就好了
38
Re: [心得] 有關群暉NAS今天Video Station的升級原文恕刪 今年初 有老外在GitHub上分享了讓DS VIDEO能播放dolby&dts聲音格式的解決方法: 我個人使用了接近一個月,沒發現什麼問題,因此決定上來跟大家分享 前置作業:![Re: [心得] 有關群暉NAS今天Video Station的升級](https://github.githubassets.com/images/modules/gists/gist-og-image.png "Re: [心得] 有關群暉NAS今天Video Station的升級")
25
[開箱] 攝影師數位筆記:建構NAS的二三事有一陣子沒有在版上分享開箱的文章了,先前都是鏡頭跟機身相關的心得文。 這回算是攝影人很有機會使用到,稍微延伸的器材吧?這回想分享的是Synology DS1819+ 。 同時作為一個攝影愛好者與從業人員,在相片檔案上、在影像儲存上,有幾件事情慢慢地![[開箱] 攝影師數位筆記:建構NAS的二三事](https://i.imgur.com/VDhHZOLl.jpg "[開箱] 攝影師數位筆記:建構NAS的二三事")
25
[請益] 有沒有大大用synology docker做開發?因為6月開始的google相簿使用限制 我考慮購入synology來儲存相簿外 它的docker功能 也是我考量的重點之一 因為我本身coding是用arm架構的m1 怕在部屬到商業環境的x86 vps時會出問題24
Re: [情報] 華芸NAS遭到deadbolt勒索病毒盯上(新)48小時內又出現新一波Deadbolt勒索,這次包含Qnap也有攻擊 當前用NAS有對外開Port或服務(含SSH) 尤其裸奔等用戶請務必更新系統 (杰哥:我看你是很勇喔) 記得檢查有沒有異常登入記錄(還有瘋狂試密碼的) 沒有開對外port或服務也建議檢查看看資料有無異常,斷網避個風頭![Re: [情報] 華芸NAS遭到deadbolt勒索病毒盯上(新)](https://i.imgur.com/MHHxYQKb.png "Re: [情報] 華芸NAS遭到deadbolt勒索病毒盯上(新)")
13
Re: [請益] 買硬碟還是買NAS好?不是高手,不過分享一下我自己15年開始用到現在還沒有被打過 我的NAS基本上 1. 不放在DMZ,不直接連PPPoE,對外也不公開任何可以直連NAS的服務(如NAS的web) 2. 所有對外服務都經過docker當sandbox,也就是port forwarding直接到特定的docker 3. 所有well-known port都關閉或挪作它用11
[請益] Zyxel NSA320 怎麼設定 DyDNS ?最近要重新整理資料 把手上的 NSA320 重新整理 由於 ISP 沒有固定 IP 所以想說設定 DyDNS 看了一下設定檔![[請益] Zyxel NSA320 怎麼設定 DyDNS ?](https://i.imgur.com/1brEIGwb.jpg?fb "[請益] Zyxel NSA320 怎麼設定 DyDNS ?")
7
[CABL] cable數據機 接 N18U 設定請教前言:已經花了好幾天的時間,可是還沒設定好@@,跪求好心人幫忙一下。 先說我的舊設備是 台灣大寬頻的cable網路(wifi訊號弱,已關),後面四個port分別接 上PC、NAS413、小米路由器3(用來連其他無線設備) 為近換了新NAS918+,再買一台二手的ASUS RT-N18U 想說把數據機先接N18U,再接PC跟NAS![[CABL] cable數據機 接 N18U 設定請教](https://i.imgur.com/xi2vpmib.png "[CABL] cable數據機 接 N18U 設定請教")
5
[求救] 如何設定遠端桌面連線到公司電腦?最近公司在為在家工作做準備 Win10的做法是用putty建立 ssh tunnel,然後用遠端桌面連線 我現在已經ssh連到公司server了,方式如下 將putty key轉成ssh key puttygen <your-putty-key.ppk> -O private-openssh -o <your-ssh-key.pem>![[求救] 如何設定遠端桌面連線到公司電腦?](https://i.imgur.com/RhshbjFb.png "[求救] 如何設定遠端桌面連線到公司電腦?")
2
[請益] Synology SSH登入後發現沒有FTP Client...?因為要連Windows Server IIS 他只內建陽春的FTP在IIS上 但SSH登入NAS才發現沒有FTP Client 但因為它有FTP Server, 想說應該是某個套件補裝是不是就可以了? 謝謝1
[問題] 外網想連結回區網內的NAS本來想要在昨天那篇接續問不佔版面的 沒想到打著打著字太多了 目前我家長這樣 router都是rt-ac86u,aimesh![[問題] 外網想連結回區網內的NAS](https://i.imgur.com/t9yh2mOb.jpg "[問題] 外網想連結回區網內的NAS")
![[情報] pc家WD MyBook 16T 8811](https://i.imgur.com/T0n0TIYb.jpeg "[情報] pc家WD MyBook 16T 8811")