你给nas开了DDNS+IPv6公网访问?危险正在悄悄逼近!

2025-05-09 10:56:45 50点赞 437收藏 166评论

这几天把arm架构oec刷好的armbian系统加casaos面板又重新刷成了armbian加1panel面板纯粹是想体验下armbian上不同面板的特色。没打算把它将就着当nas用,毕竟有两个已经有两个飞牛nas小主机24小时运行着。

你给nas开了DDNS+IPv6公网访问?危险正在悄悄逼近!

casaos和1panel被推荐的比较多主要是因为它们的应用商店应用比较丰富。但是本质上,它们大多数应用都是基于docker运作,所以你想用的docker应用,没在它应用商店也能轻松部署好。不过1panel装好后剩余的空间确实更大一些。内存占用也更少一点

你给nas开了DDNS+IPv6公网访问?危险正在悄悄逼近!

1panel本来就是给做网站的linux服务器用的多,作为一个不懂linux又玩网站的菜菜,从十几年前的zijidelu到后来的宝塔,都很熟。既然本地装了1panel也想试试网站方面的功能。一试不得了,发现了一个长久以来被我忽视的巨大危险!

你给nas开了DDNS+IPv6公网访问?危险正在悄悄逼近!

和上次casaos时候一样,usb无线网卡插上就免驱可用,然后用去年飞牛上的两行命令连接上了光猫的wifi,此时这个小主机同时拥有了IPv4的局域网和IPv6的动态公网

然后就从1panel的应用商店去安装了ddns-go这个应用,做动态解析后(在这事儿上花了四五个小时,因为一个腾讯云方面的冲突,这个稍后具体讲,能给别人避坑),就可以用我的域名访问到这个主机上的网站了。域名加端口和安全码方式访问不到面板,因为服务器的面板作为入口,安全机制都很高,不能轻易让外人知道。到这里,其实一切都正常,然后我突发奇想:我用”域名+8899”能不能访问到刚装的一个影视docker项目呢?

你给nas开了DDNS+IPv6公网访问?危险正在悄悄逼近!

这一试,真的可以!然后又试了Syncthing的8384端口,也可以访问!alist等也是一样。也就是说,你在nas使用了ddns+ipv6公网访问,不做其他设置的话,就把自己暴露到公网了!

你给nas开了DDNS+IPv6公网访问?危险正在悄悄逼近!

因为很多docker项目,都会有默认的账号密码,你要不改或者只使用简单的123456或者admin。别人只要知道你动态解析的网址,不要任何技术,都可能把你的alist绑的网盘内容,Syncthing同步的文件都看完或者损坏……

为什么我现在才发现?明明去年年底就给飞牛nas设置了ddns+IPv6方式的公网访问。分析了下,是这样的,虽然设置好了域名访问,但是局域网电脑直接用ip访问,外面几乎都是用飞牛私有云这个APP。所以用域名访问方式几乎没用到,但是它却把自家的大门给别人敞开了。

你给nas开了DDNS+IPv6公网访问?危险正在悄悄逼近!

如果你get到了这个危险程度,又正好在用飞牛,应该立马把DDNS方式关闭,先去研究怎么做DDNS+IPv6公网的安全防护,然后再确定是否使用这个方式。在这里,不得不多夸两句飞牛os,能让普通用户轻松无感的实现远程访问,并且还有一定的安全保障!

你给nas开了DDNS+IPv6公网访问?危险正在悄悄逼近!

如果你在arm上,用各种可视化的面板来勉强当nas用,又非常依赖ddns+ipv6这种公网访问,那就学习设置防护吧。至少,至少,要把docker应用的账号和密码改的复杂一点!即使入口暴露也不会被人简单试出来。

其次,可以添加反向代理,限制docker项目仅本地访问;防火墙设置特定IP访问端口;设置仅允许反向代理访问指定的端口,还有其他方式。你不擅长?我也不擅长,但是把DeepSeek和ChatGPT,Gemini这三个喊过来一起帮忙,基本都能解决。

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

展开 收起
166评论

  • 精彩
  • 最新
  • 密码管理是老生常谈的问题了。还有就是端口控制好,没用到的坚决不开。默认端口都映射成5位数的端口。这些措施能解决一大部分入侵问题。

    校验提示文案

    提交
    本地用 docker 经常大意,每个容器默认账号密码不改,😂哪怕稍微改个复杂点的密码都能安全很多

    校验提示文案

    提交
    我是用lucky反代,只开一个端口。然后就是不用的服务/端口平常都关着,特别是SSH这种。还有就是很多docker项目是可以设置仅内网访问,可以部署一个Firefox,需要的时候打开Firefox项目,通过Firefox访问本地管理页进行其他项目的管理。

    校验提示文案

    提交
    收起所有回复
  • 如果ipv6就不能全开端口,如果路由不支持那就在主机上开防火墙,只开需要暴露公网的端口,其他设备只开ipv4

    校验提示文案

    提交
    高端口对我有点复杂了,我现在 tailscale 和 cf 的 tunnels 配合着用

    校验提示文案

    提交
    收起所有回复
  • 最好开一个虚拟机,只做反代,然后只开这个反代服务器端口,其他服务全部走这个反代,域名进来的都走这边。经常折腾 docker 等等的机器你很容易有新服务新端口要开放,忘了开很麻烦,开了又有危险,最好不要暴露到公网。

    校验提示文案

    提交
    是,开始觉得 ipv6 好用,多学点东西,知道潜在危险了,就要继续学习,想办法让数据更安全

    校验提示文案

    提交
    收起所有回复
  • 异地组网,组网也是用的是一台小主机,nas上只有下载器,组网通过小主机组网。服务都部署在小主机上,对外访问也是NPS指定端口代理

    校验提示文案

    提交
  • 黑群晖,搭建vpn server,流量走openvpn,群晖端口就开放vpn一个。
    光猫关闭ipb6防火墙,不关闭的话又访问不到。
    在阿里云买了个域名,域名解析到群晖的ipv6地址。
    如果在外面需要访问内网的话,通通走openvpn,这样够安全吗? [想一想] [想一想] [想一想]

    校验提示文案

    提交
    俺也是

    校验提示文案

    提交
    收起所有回复
  • qnap+自带防火墙+ipv4公网端口映射
    跑了5年了
    没有被入侵成功过1回

    校验提示文案

    提交
    其实是没什么好值得入侵你的 [观察]

    校验提示文案

    提交
    玩虚拟币的 要降低风险

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 用lucky反代,只暴露一个端口,每个服务占用一个二级域名

    校验提示文案

    提交
    我试试。luck 听过没用过。

    校验提示文案

    提交
    我是用群晖的二级代理

    校验提示文案

    提交
    还有5条回复
    收起所有回复
  • 我上次就被黑客入侵了,然后用我的 pt 账户给我下了 pt 种子,撑爆我的硬盘,同时把我 pt 账户搞封停了 [皱眉]
    我反正现在不随意开到公网了,就算要开,也是先内网穿透临时打开防火墙,用完后马上关闭。

    校验提示文案

    提交
    要用公网,还是得多做些功课。多学点知识。我开始学习了💪

    校验提示文案

    提交
    你不是赚大了吗

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • lucky反向代理很好用

    校验提示文案

    提交
    今天就试试。

    校验提示文案

    提交
    收起所有回复
  • 你路由器的防火墙关了?

    校验提示文案

    提交
    好像降低了,没有关

    校验提示文案

    提交
    IP V6不是要关了防火墙才能用吗?

    校验提示文案

    提交
    还有3条回复
    收起所有回复
  • 用l2tp vpn打通内网多好 安全还简单

    校验提示文案

    提交
    嗯嗯,现在更喜欢用 tailscale😊

    校验提示文案

    提交
    主要l2tp不需要客户端 系统都自带 windows ios macos 安卓都自带

    校验提示文案

    提交
    收起所有回复
  • 出门有可能会遇到危险,所以赶紧把大门焊死?

    校验提示文案

    提交
    关门,学习,然后开门!

    校验提示文案

    提交
    不出门也有可能有飞来横祸呀,那就不出生了? [惊喜]

    校验提示文案

    提交
    收起所有回复
  • ddns青岛联通不允许啊

    校验提示文案

    提交
    那就不行。分地方。

    校验提示文案

    提交
    啊? 同地区群晖一直用,自己用,用的photo mobile

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 方便和安全常常是对矛盾,看怎么取舍

    校验提示文案

    提交
    根源在于缺少知识,学习是解决方法

    校验提示文案

    提交
    收起所有回复
  • frp 安全么?

    校验提示文案

    提交
    试过,没正式用过😂

    校验提示文案

    提交
    frp面向公网肯定不安全

    校验提示文案

    提交
    收起所有回复
  • 我的飞牛一直有上传,后台但是查不到,docker全停,就安装一个影视。还是有上传,是不是让人黑了 [喜极而泣]

    校验提示文案

    提交
    你从哪观察到上传?飞牛的“网络”那里吗?上传大吗?

    校验提示文案

    提交
    一直上传,上传挺大的

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 直接用自带的远程就好了

    校验提示文案

    提交
    自带的很好用,玩 nas 有很多是为了折腾去玩😂

    校验提示文案

    提交
    收起所有回复
  • zerotier就能解决组网问题,安全性也ok

    校验提示文案

    提交
    嗯嗯这几个知名的都可以的

    校验提示文案

    提交
    收起所有回复
  • 能不开吗

    校验提示文案

    提交
    能啊,有很多穿透和远程访问方式

    校验提示文案

    提交
    收起所有回复
  • 那是因为你的光猫乐色没有防火墙。网络通讯本质都是点对点,ipv6只是让点对点回归而已。而还在宣传什么公网=不安全,纯粹是制造焦虑。

    另外开放端口,开放都不安全,几位都和安全无关。相对合理的做法都是V PN连入内网,对外少暴露端口。

    而大多数的爆破都是由内向外的,一个最简易的防火墙能挡住99%的外部向内的爆破。

    校验提示文案

    提交
    不是公网=不安全,而是我们很多人,知识储备不足,敞开了用公网才会不安全

    校验提示文案

    提交
    收起所有回复
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
437
扫一下,分享更方便,购买更轻松