这是我家里的网络拓扑图,求大佬们指导一下。
目前打算是树莓派主机用作web服务器,来反代内网设备(资源安全,目前做了https,防火期)
还有一台笔记本电脑用作网盘NAS提供远程存储一些内容。(资源安全,内网环境,只让树莓派代理)
还有一台游戏电脑和一台主力NAS(资源极不安全,不对外提供网络访问)
6 个赞
家宽不要搭建web服务,运营商查到会找你麻烦的
2 个赞
只开一个vpn
1 个赞
为啥找麻烦,常规的web服务,不影响吧
插眼,回家看下
宽带协议上有条款的
用用 zerotier tailscale 组网感觉更安全
还好的,量不大一般没事
问题不大吧,我用了快10年了,不过只有我自己用
只开一个反代端口,只开放必要的直连服务,其余的走v.p.n回家吧
不要将任何服务暴露到公网,全部通过 VPN 回家访问
1 个赞
使用异地组网
流量不大应该没事
省流:强密码/证书验证,安装WAF防火墙,使用VPN连接到关键资产,隔离公网暴露的设备,定期维护
快速而简单的安全性:虚拟专用网络
对家庭自用网络的各类web服务基于VPN的零信任方案即可提供很好的保护
在路由器中为入口节点设置DMZ(隔离区,用于分割服务设备网络)在其上仅暴露wireguard VPN服务或采用虚拟局域网,这上面的方案很多
基本设置
启用路由器防火墙来阻止意外暴露和互联网的扫描探测,当然,这不意味着你可关闭设备自带的防火墙
当然,公网IP来都来了架设站点提供服务肯定是绕不过去的,建议先了解自己的ISP(运营商)封禁策略,部分地区封端口露头就秒,您可以使用nas、业余开发者、个人兴趣来向ISP解释,如果地区ISP策略严峻还是建议采用内网穿透来建站
若要架设博客等公开站点,而不是在小范围使用,你可以通过CDN(内容分发网络)来将威胁抵御在家庭宽带之外,对于http(s)的Web服务这很是适用,有些cdn网络在亚太,在免备案的环境下仍提供较优质的网络和尚可的缓解服务,需要速度可以关注这点
请注意,在使用cdn时应该非cdn来源的IP访问
虽说一般用户并不会遭受攻击,但极端情况下可左转cloudflare保持服务
远程管理
出门在外,忍不住想倒腾家中设备,必定涉及到从公网连接的过程
最后才是考虑暴露专用服务用于管理,可以使用堡垒机作为入口
服务
安装WAF防火墙,不要暴露没有维护且落后的服务
感觉雷池在这种环境里最大的作用是人机验证和数据报表
部分攻击类型拦截还是有点用的,有总比没有强,cc攻击那些的话家庭公网如果被cc电信会自动切断之前叫人试过cc直接电信那边断开了走不到本地 
他那个CC要发挥作用还是得买专业版
这价格都不如买个腾讯云的EO了,而且一般个人和朋友用用或者部署个博客也很难被攻击
不过装个防火墙很安心嘛
本地公网的话不用考虑大量cc问题,电信会阻断 
小量cc能起点作用,主要还是防注入吧,个人使用还是很不错的
每天重启 实现更换ipv4
1 个赞