公网映射 NAS，如何保证安全

放 VPN 内

或者

TLS/SSL 双向证书验证，产品如果不支持可以套 nginx 实现

ddns + wireguard

frp 不行吗？

VPN 的方案，我知道很安全，不过如果能让家人无感的访问就更好了，这也是我发帖的原因

高端口+nginx444 返回非目标 sni/路径+log 配合 fail2ban ban 非法尝试的 ip ，uuid 作为密码。

我是用 FRP ，做好安全加固就行，密码好复杂度，FRP 服务端所在 vps 选境内离你近的，vps 也同样做好安全加固，仅放开需要用的端口，nginx 反向代理，NPM 设置对于 NAS 的服务，根据敏感程度，酌情进行白名单 ip 配置

我用的群晖的，直接开放 5001 https 端口，用了 6 、7 年了吧，然后安全策略是外网一次登录失败直接锁 IP 。正常情况下没问题的，偶尔会被肉鸡攻击就会看到一堆外国 IP 被锁的通知，过一两天就消停了。至少目前看来挺安全的

不过你既然有动态 ip ，配合 ddns ，套个 Nginx 就行#6 方案是 有没有公网 ip 都行。反正我打洞就是一直不成功…

我是群晖，目前是动态公网 IP+DDNS+高位端口+HTTPS （腾讯云免费证书）+强密码（密码管理器生成的）
也想过采用 vpn 方案，但这样家人就没法在外面方便地访问 Synology Photots 了。目前的方案我觉得还可以，没有什么被攻破的迹象。
不过绿联我是信不过的，详见不到一年前的帖子：
https://yangjunhui.monster/t/1055235

最安全的就是 VPN ，wireguard/tailscale/zerotier 一类。frp ，failban ，https 属于暂时没被攻破。白名单 IP 方案可以，几百位的复杂密码也可以

@xeathen 可以参照我之前写的文章。

套 VPN 虽然很安全，但和家人一起用很不方便，并且不能随时随地在任意设备使用，便利性方面牺牲很大。
分享一下我的防护思路，已经这样安全使用五六年了。
1 、自己使用的域名尽量不要暴露在公共论坛和聊天社区。
2 、必须上 HTTPS ，外网访问端口使用五位数高位端口。
3 、通过 Nginx 禁止非中国 IP 访问。Nginx 还有其他防护，比如禁止直接通过公网 IP 访问，必须是域名访问，而且如果是泛域名，必须输入正确子域名才能访问，其他非法访问直接返回 444 错误码。
4 、通过脚本每天自动更新并封禁威胁 IP ，这些威胁 IP 数据来源于公共社区，很多都是不停爆破攻击用户被报告了，提前封禁他们。
5 、尽量不使用来路不明的容器应用或者其他程序。
6 、最小化暴露原则，非必要的服务不暴露出去，比如系统管理、容器管理这些，很多时候都是我自己在使用，我直接用 VPN 了，但是对于群晖相册，Jellyfin 这些多人使用服务，才会公开在外网。

@xeathen 既要又要？

我在主路由爱快上直接限制只允许本省 IP 访问：

https://evine.win/p/ikuai-set-ipv4-acl/
https://evine.win/p/ikuai-set-ipv6-acl-2/

有公网 IP 了，最安全的方法就是 VPN 了，不过限制了些便利性。

防止运营商扫端口的话，最好放隔离内，用绳子跳回去。

群晖的防火墙可以设置地区授权，我就是设置了仅限国内和我的 VPS 的 IP 访问特定端口。
不过我还弄不明白 OpenWRT 要怎样设置 IP 集，因为我设置 IP 区域之后不生效。

套个 ss 怎么样

开个 xray 用 v2rayNG 连回去

NAT-虚拟服务器, 只映射使用中的端口