[請益] NAS開放對外 設白名單才能連 能擋勒索?

maniaque 09/09 11:37看是 IP block policy 先行還是怎樣

tomsawyer 09/09 12:054 白名單就是iptables還是啥的檔 在系統層面

tomsawyer 09/09 12:05我家破爛Q只有4.3更新 有對外 但白名單內網一點事

tomsawyer 09/09 12:05都沒有

robinsonXD 09/09 12:11如果是電腦被駭，內網SMB存取NAS，還是一樣會整組壞

robinsonXD 09/09 12:11掉

tsaigi 09/09 12:34問題是你怎麼知道你會用到哪些IP

fujisawa 09/09 13:31這樣對外除了有固定IP不然感覺沒VPN實用吧

comipa 09/09 13:55GeoIP阿 只留台灣ip就會改善很多了

comipa 09/09 13:55反正一切都是方便vs安全之間的取捨

comipa 09/09 13:56電腦被駭那等於賊在你家裡 根本沒啥好討論的了

labbat 09/09 15:19一種鑰匙用信件寄出去的概念，不擔心信箱隱秘嗎

Baternest 09/09 16:47先VPN才能連NAS 又不是要服務公 眾 幹嘛直接對外?

p72910 09/09 17:15可以購買SSL憑證，只有持有憑證的裝置才能連線

p72910 09/09 17:16SSL買全球大廠comodo平均一年才1000多台幣而已

cs8425 09/09 19:22樓上說的那種SSL憑證可以自己簽 不用另外花錢

cs8425 09/09 19:24綁域名的(https常見) 才需要第三方機構簽(費用另說

shengshampoo09/10 11:04SSL 證書可以付費購買，也可以用常見的Let's encry

shengshampoo09/10 11:04pt 等免費簽發。差異僅在於驗證簽發方式有差。線上

shengshampoo09/10 11:04DNS驗證，或是實體企業商業驗證，商業目的的門面網

shengshampoo09/10 11:04站才會考量用付費SSL。

shengshampoo09/10 11:06原PO的想法和需求非常常見，只是適用場景比較偏向

shengshampoo09/10 11:06架站的資安領域。

shengshampoo09/10 11:11網路上有很多的類似教程，購買VPS 架設網站，VPS本

shengshampoo09/10 11:11身的後台管理和存取，僅允許前段用cloudflare 或是

shengshampoo09/10 11:11其他類似服務 IP 反代登入存取。也就是僅有白名單c

shengshampoo09/10 11:11loudflare IP才可進入。

shengshampoo09/10 11:13抗CC，抗DOS打爆網站，禁止未授權的IP駭入等。

shengshampoo09/10 11:15VPS 腳本更新cloudflare IP白名單清單， iptable

shengshampoo09/10 11:15 防火牆設定僅允許cloudflare IP 進入。cloudflare

shengshampoo09/10 11:15 也有相關的設定選項。

seiya2000 09/10 13:24買台家用NAS來放檔案還要買憑證架VPS也太誇張

BraviaX95j 09/10 14:20我是買RT2600ac,內附的VPN PLUS好用,VPN進去就當區

BraviaX95j 09/10 14:20網操作了

cellochou 09/10 14:25NAS 不用對外開放

cellochou 09/10 14:25只要跟行動裝置都裝上 ZeroTier 或是 TailScale

cellochou 09/10 14:25就可以直接連線惹, 安全穩穩的

shengshampoo09/10 14:40不是說要買VPS 和SSL證書，而是如同原PO所需要的，

shengshampoo09/10 14:40保護VPS不被駭客入侵，如同外連公網的NAS，設定白

shengshampoo09/10 14:40名單IP清單，僅允許特定對象的IP登入VPS/NAS。

shengshampoo09/10 14:45http://tny.im/tjk

shengshampoo09/10 14:49VPN 是一個解決方法，速度的確會掉一些，wireguard

shengshampoo09/10 14:49 協議至少還不錯。

shengshampoo09/10 15:34http://tny.im/tjl

shengshampoo09/10 15:35Synology DSM + Cloudflare Tunnel

Arbin 09/11 05:37ZeroTier的問題是你永遠不知道他的節點會往哪邊繞.

Arbin 09/11 05:37..

shengshampoo09/11 08:14樓上，zerotier 和 tinc vpn 一樣屬於P2P VPN，本

shengshampoo09/11 08:14來就不會固定制式走單一節點。

asdfghjklasd09/12 00:35用VPN , 不然前端就用有UTM/NGFW的FIREWALL

changchichun09/12 09:26請問要怎麼設定 "只有持有憑證的裝置才能連線" ???

p72910 09/12 11:49你要有固定ip跟網域，綁進ssl憑證

lonberk 09/12 16:52不能 這次中勒索利用的是Q家NAS內的APP中的BUG

lonberk 09/12 16:53只要有對外IP被掃到就會中

shengshampoo09/12 21:53http://tny.im/tjM

shengshampoo09/12 21:55IP 掃描又不是最近才有，網路發展到現在

shengshampoo09/12 21:56就有一堆現成的黑牌白牌工具應用。

shengshampoo09/12 21:58不一定要有固定IP，DDNS也可以，但要有網域，

shengshampoo09/12 21:58就可以DNS驗證簽發SSL證書。

shengshampoo09/12 21:59就可以DNS驗證簽發免費SSL證書。

shengshampoo09/12 22:00Letsencrypt BuyPass Google.com Public CA ZeroSSL

p72910 09/12 22:23ddns要開port，我想朝完全不開port的方向去設定

p72910 09/12 22:24同時所有synology對外服務套件要能正常運作

asdfghjklasd09/12 23:41不開PORT 又要能對外,除非你一個人用...

asdfghjklasd09/12 23:41而一個人用那就用VPN就好了

asdfghjklasd09/12 23:41有一個只開一個PORT 但可以跑 多種PORT的方法

asdfghjklasd09/12 23:42而且第一個面對的也不是NAS

asdfghjklasd09/12 23:42有興趣的可以去研究 sslh

asdfghjklasd09/12 23:44ngrok 也可以看看

asdfghjklasd09/12 23:48以前玩過連上某個PORT 驗證後，自動 Allow 連上的IP

asdfghjklasd09/12 23:48這 POrt 可以1024 以外的任一個PORT 比如 9527

changchichun09/13 10:09用網域申請SSL我知道，但是不懂怎麼設定才能

changchichun09/13 10:10「只有持有憑證的裝置才能連線」？請問有參考網址

changchichun09/13 10:10或者是關鍵字可以查詢嘛？

shengshampoo09/13 12:31中文找不到，就用英文單字找。

asdfghjklasd09/13 22:43我的VPN 有啟用 OTP

changchichun09/14 10:08可以建議一下嘛？我真不知道怎麼下英文關鍵字去找

changchichun09/14 10:08ssl + 「只有持有憑證的裝置才能連線」

changchichun09/14 10:09翻到 Mutual Authentication 再來研究看看

skasia886 09/14 11:301.直接防火牆設白名單

NTUHandsome 09/27 21:21我好像用port knocking

NTUHandsome 09/27 21:22前面擺一台router board用port knocking