原理就係個router/nas會定時行一段script
先攞自己而家個public IP
再sync上去ddns provider度
NAS/Server集中討論區
極北鷲
1001 回覆
1 Like
4 Dislike
ddns囉
原理就係個router/nas會定時行一段script
先攞自己而家個public IP
再sync上去ddns provider度
原理就係個router/nas會定時行一段script
先攞自己而家個public IP
再sync上去ddns provider度
我理解係 其實port forwarding本身冇所謂安唔安全
所謂安全程度係由你既port forward既野決定
例如你port forward QNAP個QTS出街 咁會出事 因為QTS security做得差
如果你port forward一個ssh server 但又做好best practices既話(e.g. 用D奇怪port number, 用public key encryption instead of password, block香港以外ip) 咁係十分安全
另外其實如果你個vpn server唔係部router本身 你都係要port forward個vpn service的不過vpn service係公認安全咁解
Security呢D取捨既姐 要安全就通常要犧牲可用性
我唔直接放DSM 5001 port 係因為萬一有0day 我損失會好大
但如果你冇乜所謂既 又相信Synology既話 放5001唔係唔得
平時上網小心D講野既話應該冇人會特意會搞你既
所謂安全程度係由你既port forward既野決定
例如你port forward QNAP個QTS出街 咁會出事 因為QTS security做得差
如果你port forward一個ssh server 但又做好best practices既話(e.g. 用D奇怪port number, 用public key encryption instead of password, block香港以外ip) 咁係十分安全
另外其實如果你個vpn server唔係部router本身 你都係要port forward個vpn service的
不過vpn service係公認安全咁解Security呢D取捨既姐 要安全就通常要犧牲可用性
我唔直接放DSM 5001 port 係因為萬一有0day 我損失會好大
但如果你冇乜所謂既 又相信Synology既話 放5001唔係唔得
平時上網小心D講野既話應該冇人會特意會搞你既
係唔係姐係 Domain指住DDNS再指住自己IP咁?
我用S記個ddsn,external IPv4 set做local IP.
S記似乎有方法唔開port都可以射個local IP上ddsn server
每次request ddsn都識搵返個local IP
S記似乎有方法唔開port都可以射個local IP上ddsn server
每次request ddsn都識搵返個local IP
咁大仇口
呢到有冇人買raspberry pi/esp32 自己整IoT?
Reddit有個self host問卷
有興趣可以睇睇
https://www.reddit.com/r/selfhosted/comments/y893k6/selfhosting_survey_2022/
上年result
有興趣可以睇睇
https://www.reddit.com/r/selfhosted/comments/y893k6/selfhosting_survey_2022/
上年result
死圖
係 多數都有API
真係無咪射個domain去clouldflare host
真係無咪射個domain去clouldflare host
行RAID1 , 可唔可以2TB HHD配2TB SSD?
可以但ssd會廢咗武功
但ssd會廢咗武功其實我想換完sync晒data再換另外一隻
Linux? 用rsync或者就咁cp
qnap
唔forward QTS出街 係唔係即係唔用QNAP 個 mycloudlink 出街?
(即係Synology 既quickconnect)
如果只用DDNS 搵返自己屋企隻nas, 應該最安全既做法
(即係Synology 既quickconnect)
如果只用DDNS 搵返自己屋企隻nas, 應該最安全既做法
我諗上面好多討論DDNS都好似miss個重點: DDNS只係幫你將個IP mask響一個domain name背後,結局去到你LAN外你都係要用firewall防守
響無firewall情況下
DDNS + 開非典型port number + disable default admin user
已經防止到大部分風險,不過仍然處於一個好易奶野狀態;
例如scan你port,搵到係開DSM / QTS嗰個port就可以用0day exploit去爆你
而QNAP係充滿漏洞,S記相對無咁多已知
對於普通用家,你叫佢去maintain一隻firewall,甚至特登用WiFi router以外硬件去做firewall係苛求
所以好似呢個post,去到呢個位都會叫人不如中間加一層VPN一了百了
因為例如你只開一隻port,個port就係OpenVPN,而你config要用cert唔只係用password,咁基本上真係要執法機構級數先會有能力爆開你,而個firewall嗰度就唔太需要有咩要求
響無firewall情況下
DDNS + 開非典型port number + disable default admin user
已經防止到大部分風險,不過仍然處於一個好易奶野狀態;
例如scan你port,搵到係開DSM / QTS嗰個port就可以用0day exploit去爆你
而QNAP係充滿漏洞,S記相對無咁多已知
對於普通用家,你叫佢去maintain一隻firewall,甚至特登用WiFi router以外硬件去做firewall係苛求
所以好似呢個post,去到呢個位都會叫人不如中間加一層VPN一了百了
因為例如你只開一隻port,個port就係OpenVPN,而你config要用cert唔只係用password,咁基本上真係要執法機構級數先會有能力爆開你,而個firewall嗰度就唔太需要有咩要求
我諗上面好多討論DDNS都好似miss個重點: DDNS只係幫你將個IP mask響一個domain name背後,結局去到你LAN外你都係要用firewall防守唔forward QTS出街 係唔係即係唔用QNAP 個 mycloudlink 出街?我理解既係DDNS 係你用一個名去代表不斷變既nas wan ip.我理解係 其實port forwarding本身冇所謂安唔安全
dynamic DNS丫嘛, 但就算係咁都應該要開port.
而我問題係, 我見網上都話DDNS 係安全過+速度快過你用 quickconnect
但為安全計又唔好做port forward. 咁唔通真係只有VPN一條路可以行?
想知平時Synology個堆手機apps係點樣login VPN?
所謂安全程度係由你既port forward既野決定
例如你port forward QNAP個QTS出街 咁會出事 因為QTS security做得差
如果你port forward一個ssh server 但又做好best practices既話(e.g. 用D奇怪port number, 用public key encryption instead of password, block香港以外ip) 咁係十分安全
另外其實如果你個vpn server唔係部router本身 你都係要port forward個vpn service的
Security呢D取捨既姐 要安全就通常要犧牲可用性
我唔直接放DSM 5001 port 係因為萬一有0day 我損失會好大
但如果你冇乜所謂既 又相信Synology既話 放5001唔係唔得
平時上網小心D講野既話應該冇人會特意會搞你既
(即係Synology 既quickconnect)
如果只用DDNS 搵返自己屋企隻nas, 應該最安全既做法
響無firewall情況下
DDNS + 開非典型port number + disable default admin user
已經防止到大部分風險,不過仍然處於一個好易奶野狀態;
例如scan你port,搵到係開DSM / QTS嗰個port就可以用0day exploit去爆你
而QNAP係充滿漏洞,S記相對無咁多已知
對於普通用家,你叫佢去maintain一隻firewall,甚至特登用WiFi router以外硬件去做firewall係苛求
所以好似呢個post,去到呢個位都會叫人不如中間加一層VPN一了百了
因為例如你只開一隻port,個port就係OpenVPN,而你config要用cert唔只係用password,咁基本上真係要執法機構級數先會有能力爆開你,而個firewall嗰度就唔太需要有咩要求
多謝巴打你既指教. 想問:
Q1) 你指既" 搵到係開DSM/QNAP個port", 係唔係指Synology 本身既 quickconnect / QNAP 本身既 mycloudlink 呢個功能?
Q2) 其實QNAP NAS做齊DDNS+轉port+熄admin+防火牆+熄uPNP+熄mycloudlink 應該都足夠安全吧?
Q3) 你講既: 叫人不如中間加一層VPN一了百了, 係唔係即係將NAS 指去出面既VPN server? 咁樣nas同vpn server之間既連線係加密左. 但如果係街點用手機連返屋企部nas呀? 又係用返DDNS都得?
Synology DS220+ 用家 
本來都打算買220+, 不過實在係性能太差.
買左QNAP TS-262C N4505 NPU 勁好多.
買左QNAP TS-262C
N4505 NPU 勁好多.1. No, 起碼quickconnect唔洗開port都用到
佢話放DSM個port (5001)姐係你router forward個<NAS_IP>:5001去你個<Public_IP>:<指定port number>
咁你出街係browser打<Public_IP>:<指定port number> 就駁到屋企個NAS
2. 其實單靠DDNS唔算係security, 因為DDNS只係方你出街駁返屋企,畢竟英文字易記過IP,最後點都係要port forward
我甚至會話security低左,因為除左直打IP之外而家仲可以靠DDNS去到你個NAS
重複返之前講既野,port forward既安全性係決定於你forward左咩service出去
你放QTS唔安全,係因為QNAP security做得差
放DSM [可能] 安全D, 起碼根據過往經驗佢比QTS安全先
佢話放DSM個port (5001)姐係你router forward個<NAS_IP>:5001去你個<Public_IP>:<指定port number>
咁你出街係browser打<Public_IP>:<指定port number> 就駁到屋企個NAS
2. 其實單靠DDNS唔算係security, 因為DDNS只係方你出街駁返屋企,畢竟英文字易記過IP,最後點都係要port forward
我甚至會話security低左,因為除左直打IP之外而家仲可以靠DDNS去到你個NAS
重複返之前講既野,port forward既安全性係決定於你forward左咩service出去
你放QTS唔安全,係因為QNAP security做得差
放DSM [可能] 安全D, 起碼根據過往經驗佢比QTS安全先
DSM同QTS都有各自default port
你咩都唔(識)搞,照開5001的話咁個好處係你唔需要響apps或者其他setting度set過都會直去到5001,而壞處好明顯就係個hacker/木馬係一定會先試呢個default port
S記已經幾次突然有勁多用家報告俾人撞password就係咁發生 (當然QuickConnect流出都關事)
所以上面我話「開非典型port number」就只係針對呢點,假設你唔係俾人由頭scan port scan到落腳(port knocking),你已經少咗一重風險直接俾人估中呢個port原來係用嚟做呢樣野
同一道理,port 80開http野,port 22開FTP都係死撚硬咁濟
而上面Q2咁樣問,我會覺得業餘個人用家係夠的
不過,都係嗰句,點解唔再額外加多層VPN? 咁你就大概封埋呢隻門
除非你需要用途係唔可以經VPN,例如某隻app,或者你行VPN個server唔夠快而你需要個bandwidth (如播片出去街)
Q3 「將NAS 指去出面既VPN server?」
完全唔係講緊呢樣野,唔係講緊三方VPN host去翻牆嗰隻VPN
講緊你要響LAN內有某硬件去host個VPN server
一般人應該係隻WiFi router有
而因為呢個post討論緊NAS,咁OK你可以響NAS去host,各有各好有唔好
再進一步係響一隻專做firewall嘅機度做,例如軟路由pfSense嗰種
無論點set,個point都係響你開port狀況下,呢個port只有VPN server係向外,咁樣任何人包括你都只可以用VPN連番入LAN,換言之將防守負擔交俾VPN去做
一般VPN都有嚴格加密,而且有幾種個交易方式係要求個client要拎得出一張cert,姐係唔止要有user / password,佢仲要有一個file有個好長嘅key先連到入嚟;你可以理解做一種雙重認證咁樣
非商用已經可以免費set到嘅級數嚟講我覺得咁樣已經算最安全
你咩都唔(識)搞,照開5001的話咁個好處係你唔需要響apps或者其他setting度set過都會直去到5001,而壞處好明顯就係個hacker/木馬係一定會先試呢個default port
S記已經幾次突然有勁多用家報告俾人撞password就係咁發生 (當然QuickConnect流出都關事)
所以上面我話「開非典型port number」就只係針對呢點,假設你唔係俾人由頭scan port scan到落腳(port knocking),你已經少咗一重風險直接俾人估中呢個port原來係用嚟做呢樣野
同一道理,port 80開http野,port 22開FTP都係死撚硬咁濟
而上面Q2咁樣問,我會覺得業餘個人用家係夠的
不過,都係嗰句,點解唔再額外加多層VPN? 咁你就大概封埋呢隻門
除非你需要用途係唔可以經VPN,例如某隻app,或者你行VPN個server唔夠快而你需要個bandwidth (如播片出去街)
Q3 「將NAS 指去出面既VPN server?」
完全唔係講緊呢樣野,唔係講緊三方VPN host去翻牆嗰隻VPN
講緊你要響LAN內有某硬件去host個VPN server
一般人應該係隻WiFi router有
而因為呢個post討論緊NAS,咁OK你可以響NAS去host,各有各好有唔好
再進一步係響一隻專做firewall嘅機度做,例如軟路由pfSense嗰種
無論點set,個point都係響你開port狀況下,呢個port只有VPN server係向外,咁樣任何人包括你都只可以用VPN連番入LAN,換言之將防守負擔交俾VPN去做
一般VPN都有嚴格加密,而且有幾種個交易方式係要求個client要拎得出一張cert,姐係唔止要有user / password,佢仲要有一個file有個好長嘅key先連到入嚟;你可以理解做一種雙重認證咁樣
非商用已經可以免費set到嘅級數嚟講我覺得咁樣已經算最安全