NAS/Server集中討論區

突然咁多人討論 唔知覆邊個
我係home server新手
之前係物理機 docker + nginx reverse proxy + cloudflare domain放出街
之後轉左oracle個 free vps 黎玩
最新手痕又走左去玩 PVE VM Docker + pfsense
又想用埋個vps
諗緊不如用埋個vps做 reverse proxy hide ip 用Vps vpn返去自己屋企
但去到呢到啲 network開始亂

睇你地覆話用cloudflare tunnel/ Zerotier
會唔會唔好搞咁多無謂野直接tunnel／zerotier好啲

睇下邊個option performance最好囉

唔知咩黎，要爬下文先

btw cloudflare真係會捉video streaming (原文係disproportionate amount of non-html content)
https://support.cloudflare.com/hc/en-us/articles/360057976851-Delivering-Videos-with-Cloudflare

vpn overhead 好大
如果要做 file share / media streaming

https://abc.xyz/
請問.XYZ收左alphabet未？

NAS本來定位就係公司用嘅network storage, 公司有齊firewall保護同IT人set好曬. 風險一定低過家用玩家自己去搞.
當佢下放比家用玩家就預左你要有一定IT知識先好買
無論S記又好Q記也好單靠製造商比你嘅傻瓜包設定比人hack都只係遲早嘅事.當個個都用一色一樣嘅setting, hacker比小小時間集中分析再點對點攻擊簡直係easy job. Upnp/default port/default admin呢啲普通用kali tools都scan到撞到.

係呢到就分享下作為一個IT人係屋企點樣用QNAP咁多年都無出過事.
1. 熄admin開新account, 2FA, 轉default port, 強制https, 停用無用嘅apps, 改static IP, 停用Upnp, 唔用Q記嘅quickconnect(S記一樣)

2. 有錢就買個domain, 無錢就用免費. 搭配cloudflare做DNS hosting. 呢個時候就算你個ISP IP成日跳, 你只要用docker裝個oznu/cloudflare-ddns佢就會用api key自動sync ISP粒IP上cloudflare, IP變cloudflare跟住轉. 好過用router個啲ddns

3. 利用cloudflare個DNS橙色雲同WAF功能, 搭配docker裝nginx reverse manger或者用Q/S記個reverse proxy. set好whitelist同register Let's encrypt SSL. 係cloudflare個waf到只準香港IP先連到同埋每次都要經cloudflare challenge先連到去個人NAS

做曬以上3點比人hack到嘅機會微乎其微.
最後都係一句天外有天 人外有人, 做好backup Data無價

實用文呀

你開左舊雲有無覺得慢左？
我開後load網頁好慢，頂唔順要關左佢

對比唔到，因為我強制要做challenge先可以連到入去。但有機會係你個ISP/router或者其他原因setting影響。

話說呢到有冇人屋企network會介vlan?
之前係carousell代購買左個二手cisco 8+2port gigabit managed switch
不過冇時間set 放左係到

我都係上網search完再出去旺電搵

我屋企成日想界開俾IoT用(吸塵機械人etc)不過個共碩router仲幾打得唔想換隻VLAN ready firewall住
另外就係guest WiFi不過呢樣野普通router都做到anyway

Proxy 果個雲icon?

如果想整Home Assistant就好麻煩
我都係IoT用緊Guest Wifi 但咁IoT就駁唔到Home aAssistant
Home Assistant又放左係NAS到 駁唔到wifi
淨得pfSense唔夠應該要另外買部support VLAN既AP先得

暫時既做法係唔洗上網既IoT就router block佢internet access 然後放佢同home assistant同一個network到
要上網既就guest wifi頂住先

唔係好知我個wireless router個guest wifi係點實現
返去再試下

民用router個guest policy可以set到好亂/錯
同埋衣家好多IoT野都要上網...
如果你想control佢例如用你部電話行app，咁兩者就要同一個VLAN / subnet，一般router firmware已經好難做到咩野你一定要將佢地放晒響同一面，就算用MAC address policy之類block佢出街都好少會俾你block佢LAN access
結局都係要用firewall

多謝分享，學到嘢

巴打, 如果只做以下呢幾步, 風險會高過你既幾多?

1) 熄Admin, 開新acc, 2FA, 停uPnP, 唔用QNAP mycloudlink
2) 保留default port, 開2FA
3) QNAP 裝 firewall apps, 中止所有香港以外訪問
4) 用QNAP DDNS 係街到外連返NAS