恩山无线论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
当贝投影
查看: 535|回复: 7

[nginx相关的讨论] 家庭NAS用ssl证书加反向代理的安全性怎样?

[复制链接]
发表于 2022-5-17 13:58 | 显示全部楼层 |阅读模式
如题,网络方面是小白,但是爱折腾。跟着各个网站论坛搞了软路由、群晖NAS,开启了一堆服务。
由于有电信的公网IP,为了方便外网访问NAS和上面的各个服务,就学着申请了域名,在群晖上用acme脚本实现申请和自动更新let's encrypt的SSL证书,然后用群晖自带的反向代理(nginx的简化版)给各个NAS上的服务用,这样外网也可以用https+域名+端口号访问各个服务了。虽然有加密证书,但也需要在路由器上把各个端口转发出去。

1,想问一下,这种反向代理+SSL证书的方式,安全性如何?
2,不懂原理,但是觉得把一堆端口暴露在外网好像有点不安全,所以最近又尝试在openwrt的旁路由上部署了wireguard,这样只需要主路由转发一个wireguard的UDP端口。(这样部署的话,便利性又差了点)。

所以想请大佬给解释答疑一下,到底安全性该如何平衡?




我的恩山、我的无线 The best wifi forum is right here.
发表于 2022-5-17 14:49 | 显示全部楼层
侧重点不同
ssl是防止被抓包泄露登录密码
wireguard能额外防止端口上的服务存在漏洞被利用

点评

多谢指点。 那按您的意思,如果我nas上安装的服务有漏洞,即便有SSL证书,安全性也难以保障是吗?  详情 回复 发表于 2022-5-17 15:28
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2022-5-17 15:28 | 显示全部楼层
Concises 发表于 2022-5-17 14:49
侧重点不同
ssl是防止被抓包泄露登录密码
wireguard能额外防止端口上的服务存在漏洞被利用

多谢指点。
那按您的意思,如果我nas上安装的服务有漏洞,即便有SSL证书,安全性也难以保障是吗?

点评

当然啊 ssl只负责通讯加密 可不会阻止人家访问登录页啊  详情 回复 发表于 2022-5-17 15:36
我的恩山、我的无线 The best wifi forum is right here.
发表于 2022-5-17 15:32 | 显示全部楼层
看看.......
我的恩山、我的无线 The best wifi forum is right here.
发表于 2022-5-17 15:36 | 显示全部楼层
本帖最后由 Concises 于 2022-5-17 15:38 编辑
realkaka 发表于 2022-5-17 15:28
多谢指点。
那按您的意思,如果我nas上安装的服务有漏洞,即便有SSL证书,安全性也难以保障是吗?

当然啊 ssl只负责通讯加密 又不会阻止人家访问你的页面和交互
我的恩山、我的无线 The best wifi forum is right here.
发表于 2022-5-17 17:56 | 显示全部楼层
学学,我目前ssl没弄,端口没改。需要那个端口就映射那个端口。也在考虑安全的问题了 。
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2022-5-18 09:22 | 显示全部楼层
1154410020 发表于 2022-5-17 17:56
学学,我目前ssl没弄,端口没改。需要那个端口就映射那个端口。也在考虑安全的问题了 。

是的 折腾了半天其实有很多伪需求。真正经常用的没几个,路由器的防火墙也不太懂,所以为了这点功能,暴露一堆端口在外网,感觉是有点心虚。
我的恩山、我的无线 The best wifi forum is right here.
发表于 2022-5-25 12:55 | 显示全部楼层
OPNsense
我的恩山、我的无线 The best wifi forum is right here.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )|网站地图

GMT+8, 2022-7-3 05:00

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表