未分類
12 5 月 2020

请问有外网 ip 的家庭宽带开放 ssh, $$ 等非 Web 服务会有风险吗?

请问有外网 ip 的家庭宽带开放 ssh, $$ 等非 Web 服务会有风险吗?

資深大佬 : amorphobia 2

看到一些讨论,Web 服务肯定是不敢开了

https://v2ex.com/t/608821

https://koolshare.cn/thread-170517-1-1.html

但是想在外访问 plex 呀,所以在家里还开了个 $$ server, 在不开放 plex 端口的情况下可以通过 $$ 连回家看

我觉得 ssh 和远程桌面多半是没有风险的,但是 $$ 的性质不同,通常是用来放眼世界的,所以就比较担心它…

大佬有話說 (26)

  • 資深大佬 : geekvcn

    你不是上海深圳电信,湖南联通,目前非标准端口 web 还没人查,$$肯定有违规风险,但是国内你自己连压根也没人管你,如果被境外 IP 连特别是台湾的 IP 连可能有被断网风险,所以只要不裸奔不加密,不给境外提供服务就没事

  • 資深大佬 : lzl2000

    我看到有个老哥说,国内段不管,境外进来就管

  • 資深大佬 : wtks1

    墙以内随便用,没人管的,过墙就不一样了

  • 資深大佬 : maoshen1234

    @geekvcn 湖南联通是因为,湖南 DXZP 排第三嘛?

  • 資深大佬 : emeab

    墙内互连又没问题.

  • 資深大佬 : geekvcn

    @maoshen1234 这就不清楚了,反正有湖南网友反映被自己要求写保证书以后不私搭 web 服务,大多数还是上海深圳电信的,去年下半年特别集中,近几个月似乎是消停了,但是还是不推荐上海深圳电信直接开放 web 服务,毕竟哪天又严打,又断网又写保证书的多折腾

  • 資深大佬 : qbqbqbqb

    访问家中设备用 vpn 反而比$$更方便,比如 L2TP/ipsec 或者 openvpn,前者还不用装客户端。vpn 可以配置成只下发内网路由表,这样连 vpn 的时候只有访问家里网段才经过 vpn,不影响上网。

  • 資深大佬 : tankren

    openvpn 不香吗

  • 資深大佬 : taresky

    @qbqbqbqb 好奇,请问一下

    1. “vpn 可以配置成只下发内网路由表,这样连 vpn 的时候只有访问家里网段才经过 vpn,不影响上网。”
    这个我理解只能在家里 VPN 服务端做判断,手机自带 VPN 客户端没有这个功能,那应该不论如何都要先访问 VPN 后才能做后续判断,是不是延迟会更高呢?同时带宽瓶颈是不是变成家里的上传瓶颈了?

    2. 这个做法,$$ 客户端是可以很方便实现的,而且体验应该是更优的:无感,配置简化,可以同时支持多代理(家里 /公司 /老家 /海外)。

  • 資深大佬 : amorphobia

    @geekvcn
    @lzl2000
    @wtks1
    @emeab
    明白了,所以只要屏蔽所有境外 IP 应该就是安全的吧?
    那么问题来了,要怎么设置才可以屏蔽境外 IP 呢?

    @qbqbqbqb
    @tankren
    其实用 $$ 是因为可以直接添加到小火箭的规则里,访问家里的时候就自动连家里的 $$ server, 访问其他的时候就是现有的规则,正如 @taresky 所说的,这样配置更无感。

  • 資深大佬 : hahiru

    @taresky 不会,openvpn 可以在客户端配置不下载默认路由,然后再客户端配置里只把内网网段的数据进行代理。
    譬如 route-nopull
    route 192.168.50.0 255.255.255.0 vpn_gateway
    这样就只有 192.168.50.0 网段的数据走 vpn 。其他正常直连。

  • 資深大佬 : taresky

    @hahiru 谢谢

  • 資深大佬 : designer

    plex 你更应该担心影视版权风险。

  • 資深大佬 : wlh

    一种工具而已,哪有对错之分。SSH-D 也可以拿来那啥

  • 資深大佬 : ericbize

    广东电信这么开了 2 年了 ssh 和 ssr 还有 l2 pptp ipsec

  • 資深大佬 : HEROic

    @amorphobia 为什么要设置屏蔽境外 ip 。。。 你只要不分享给别人用 /不在境外使用 不就好了。。。

  • 資深大佬 : geekvcn

    @amorphobia 不需要屏蔽境外 IP,你不主动分享给境外使用,并且开启加密,不要使用默认端口防止被图谋不轨的人扫就行了

  • 資深大佬 : qwerrewt

    开放 plex 端口就行了, 当然最好还是 VPN, 别的效果反而不好

  • 資深大佬 : amorphobia

    @HEROic
    @geekvcn
    好像说得也是…

    @qwerrewt
    plex 是 web 服务,魔都电信不管你是哪个端口,只要看到 web 服务直接断宽带

  • 資深大佬 : qwerrewt

    @amorphobia 别想太多, 我就是上海电信, 路由, NAS, plex, 还有些下载的经常用, 都是 web, 从没封过, 没人管你的, 上海也管不了这些. 去年是有一天, 有大概两三个人说自己无辜被封的, 传播很广, 别的再没见过了.

  • 資深大佬 : yushuda

    我这运营商表示后果自负(查出来封帐户不给退款)
    网上见过去写保证书的,不知真假。

  • 資深大佬 : amorphobia

    @qwerrewt 嗯…保险起见所有 web 端口不映射了,$$ 配合小火箭还算是比较方便

  • 資深大佬 : huihuilang

    上海电信开了一年多 PPTP 了,又不是 Web 服务,PPTP 连接家里反而比 web 方式方便也安全多了

  • 資深大佬 : talarax7

    @huihuilang PPTP 在加密上没有 https 安全

  • 資深大佬 : huihuilang

    @talarax7 密码舍得强一点,还没见过可以破解的,不行就 L2TP,总有协议的

  • 資深大佬 : rallos8zek

    wireguard 不香吗?