飞牛nas（九、回复篇）

哈罗大家好，又好久没上来了。看了一下大家的留言，有很多很好的建议，统一回复一下：

一、安全篇

这个确实是很复杂，也很大的话题，从我一个小白的理解，安全方面投入再多，也防不了想要破解你家nas，想想那么多安全投入的企业、国家网都能被黑，我们只能自己尽可能保障自己nas的安全性，我浅浅说下我的想法

1、最安全：物理隔离，从高到低：不要搞nas，哈哈>单机搞nas不开机不连网，有需要再开一下机硬盘对接copy>有线网连接，不连外网

2、如果确实有连网要求及外网访问回家里nas的需求，考虑上硬件的防火墙、网关等设备

3、不上硬件安全设备，可考虑将家里的各级的软防火墙和安全措施都开启，如光猫、路由器、nas操作系统、nginx、各软件上的防火墙安全配置等

4、nas所对应操作系统的安全，目前nas都基于各操作系统，安全性先看看各操作系统的安全性，是否有各种bug、漏洞，各操作系统也不时爆出新的漏洞。需要及时安装操作系统的安全补丁升级到最新版本，打开操作系统的防火墙等

5、nas本身的安全性，这个就要看nas厂商，开发的nas软件（系统）有没有漏洞、后门了

6、nas中集成的软件，目前各nas集成的各种软件，有很多开源的软件或在开源基础上优化改进而来，是否有漏洞、后门，判定复杂。我们只能尽量少装软件，只安装合规各法知名的软件并升级到最新，再通过一些底层网络的监控软件进行监控

7、各种软件的账号安全方面，尽量让访问入口复杂，账号密码一定要设置为复杂密码

8、网络方面，如果非要连网，可考虑硬件VPN方案，再考虑软件VPN方案。如果VPN不便使用或有限速。再看内网穿透方案，内网穿透方案一般来说只会开放1个端口供外网访问进来，相对较安全，但也要看内网穿透的软件提供商是否安全可靠（飞牛nas也提供有），同时也有限速的问题。最后就是使用公网访问的方式，考虑域名设置尽可能复杂一些，如：C4CA4238A0B923820DCC509A6F75849B.XXXXX.cn减少被扫到的机率，不要用泛域名，在域名服务商管理那边，也开启一些安全、防止扫描攻击的配置。家里路由器访问内网不要设置太多的转发端口，路由器与nas服务器之间最好有硬件的网关服务器，如不具备，参考前面的各级的软件防火墙。再建议考虑在路由器和服务器之间，用单独的设备上面只安装nginx一类的代理转发软件，尽量减少这台单独设备上可能存在的漏洞，同时在代理软件上配置防火墙，再访问nas服务器，尽量进行安全隔离，访问全部使用https，尽量防止网络传输中间的信息泄漏（https仍无法完全保证安全）。

二、充值篇

有人说是飞牛充值了，哈哈，不存在哈，从学习机、386电脑玩到现在，从没充过值哈。nas相关也玩过黑裙、freenas、openwrt、OpenMediaVault、Unraid，也有PVE、ESXI，还有简单的SMB、FTP等，也是好久没折腾了怕老年痴呆，动动脑再折腾折腾，也想看看nas这块从硬件、操作系统、开源软件到国产化这条路上的情况。

三、nas到底要干嘛

NAS（Network Attached Storage：网络附属存储）按字面简单说就是连接在网络上，具备资料存储功能的装置，因此也称为“网络存储器”。以上摘自百度。可能每个人的需求和理解都不一样，有的除了想要文件存储、分享，还要做DLNA，再能有个可远程的windows，再能搞个手机上即开即用的小游戏中心，或去研究一些新的docker应用等等。其实不管从freenas、omv、飞牛nas这些来看，都是在底层的linux操作上，再搭建了一层nas应用。像文件管理存储网络共享这些就是用的操作系统本身的能力，应用中心的应用也是安装在linux操作系统上，docker也是在操作系统的docker提供了图型管理界面，KVM也是从linux底层部署出来提供虚拟化的能力。所以我们在linux底层上保持尽量的干净纯净，保障基本的文件存储、网络、安全、共享等nas基础能力，再安装一些需要的下载、家庭智居控制等随时需要使用的软件。其他像docker、KVM上的内容就随意折腾也不影响。大概就像windows上，你再装vmware workstation，再在vmware中安装多个系统多个软件随意折腾，也不怕网友说的boom all boom。弄个低功耗的小机器，做好备份，就可以长期在线运行，随时使用，如24小时下载，随时外网访问家中的资源等等。

四、导航篇

nas中很多应用需要访问nas服务器不同的端口，你自己在docker中安装的应也需要不同的端口，未来飞牛nas支持虚拟机后，不同的虚拟机也需要不同的访问方式。目前飞牛nas 的移动端APP还不能支持直接访问不同端口的各类应用，只能用手机浏览器IP+端口去访问，就存在记忆端口的问题。飞牛nas升级后，应用中心已经自带Heimdall、Homepage、Sun-Panel三个导航应用了，就算sun-panel支持内外网访问切换，对于内网应用没问题，但外网访问时，我们出于安全性考虑，并不想开放太多端口，所以还是建议采用导航+nginx反代的方式，这样，路由器只需开放1个端口，通过nginx二级域名反代不同的应用，再将导航页和各二级域名尽量设置复杂一些，这样不管内网、外网都可以直接通过导航去访问不同的应用，只需要收藏一个导航页就可以了。

前面各篇讲的，其实只是从硬件，安装操作系统（nas），再一些基本应用，网络基本设置，docker的示例，只是个入门级自己学习折腾飞牛nas的记录和心得，大家还是得根据自己实际的需求，去建设自己的nas

前面光猫有问题不能端口转发就一直没折腾了，今天网络终于弄好了，试了在外网也可以手机玩玩小游戏了，又可以来折腾了，哈哈

1、路由器端口转发

2、反代

3、手机外网二级域名访问：https://game.XXXXX.cn:4443

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～