個人積分:6696分
文章編號:83575668
個人積分:1858分
文章編號:83576032
個人積分:1858分
文章編號:83576117
個人積分:2643分
文章編號:83576282
squgood wrote:
admin已確實停用(恕刪)
我以前也是在 QuFirewall 設定特定ip或塸域阻擋,但還是有外部陌生者入侵NAS
後來我加了實体防火牆 ( USG FLEX100 台製),在NAS的 QuFirewall 設定只允許一個內部 ip (實体防火牆)通過,就沒有入侵NAS的事過了
ps. 我的nas 有架網站對外,及常用手機連回nas查資料
個人積分:2814分
文章編號:83576361
個人積分:2814分
文章編號:83576546
中華電信或其他的ADSL/光纖/cable上網會配發給你固定或浮動的IP,這些屬於公共IP,等於是你家網路設備的門牌號,家中內外的通訊就由這邊進出,所以大家可以很容易的經由門牌號找到你家的設備。等於你要寄快遞,快遞員直接到你家收件,有你的快遞時,快遞員也可以直接送到你家。
而4G上網沒有給你公共IP,就只有虛擬IP。就像是一個很大的社區,但只有社區的警衛室有門牌號,所以所有的通訊都只有到警衛室而已,只能由警衛室轉給社區內的住戶。
內網穿透的運作方式就是,我在社區外有門牌號(公共ip)的地方派一個人駐點,所有要寄給我的東西都會先和那邊連絡,只要對得上暗號,我派駐的人就會給快遞員一個快速通道直接指向我家。(這說法不是很精確只是比喻)
所以實際上家人不用去管快遞怎麼寄到家中的!!
個人積分:1858分
文章編號:83578594
法水 wrote:
我以前也是在 QuFirewall 設定特定ip或塸域阻擋,但還是有外部陌生者入侵NAS
後來我加了實体防火牆 ( USG FLEX100 台製),在NAS的 QuFirewall 設定只允許一個內部 ip (實体防火牆)通過,就沒有入侵NAS的事過了(恕刪)
其實我NAS的外面也有開啟AP陽春的防火牆,
目前用AP的NAT對應Port的方式到NAS。
不過蠻好奇您的防火牆/網路架構是怎麼設定的?
是 外網->AP(GW) -> 防火牆(IP1) -> NAS(IP2)嗎?
以我目前的情境假設:
手機4G(142.1.4.2) -> AP:80(外123.1.2.3/ 內192.168.0.1)->NAS:8080(192.168.0.2)
如果QuFirewall只設定允許192.168.0.1,則QuFirewall不允許142.1.4.2連線。
個人積分:1858分
文章編號:83578861
chirle wrote:
簡單的說就是:(恕刪)
謝謝您講得確實很詳盡且淺顯易懂。
確實以往行動4G網路的IP都提供浮動的虛擬IP/ CGNAT IP。
現在其實可以申請固IP,但還是要看哪一家ISP,以下提供給您參考:
中華電信行動固定IP上網服務
其實我也蠻好奇您是怎麼搭配設定的,
您有提到家中的2台NAS(是否都是用小主機裝DSM & QTS?)
且國外租用VPS安裝了內網穿透Server,配合DSM安裝的內網穿透Client,可連回家中各設備。
因此家中應是用4G的AP上網,分享給DSM和QTS。
如果要從手機QPhoto連QTS,連線過程是否是手機->VPS->DSM->QTS呢?
個人積分:2814分
文章編號:83579290
squgood wrote:
謝謝您講得確實很詳盡(恕刪)
這需要搭配DOMAIN NAME來使用。
例如我有DSM、QTS、Home Assistant(安裝在DSM上)需要外對內的連線。
我先給這3個設備都各設1個SUBDOMAIN,例如dsm.aaaaa.com、ha.aaaaa.com及qts.aaaaa.com
(其中aaaaa.com需是已注冊的domain)
在DNS管理中給它cname別名並指向VPS上的內網穿透服務器(透過port、密鑰讓server和client連線)。
我會在家中內網穿透的客戶端(我安裝在DSM)設定:
dsm.aaaaa.com連回來的要轉到192.168.x.120:88888 (DSM的區網IP:Port)
ha.aaaaa.com連回來的要轉到192.168.x.120:99999 (DSM區網IP:HA的Port)
qts.aaaaaa.com連回來的要轉到192.168.x.121:88888 (QTS的區網IP:Port)
所有連線到dsm.aaaaa.com的就會由dns指向vps再透過內網穿透服務器連回家中內網穿透的客戶端再轉到DSM的區網IP:Port
要連回家中其他的設備都一樣的道理,因都是自動轉發,所以家中的使用者不用管內網穿透怎麼運作,就可以簡單的連回家中的NAS。
奉上5星評分!^^
個人積分:2643分
文章編號:83579616
squgood wrote:我的設定如下:
手機4G(142.1.4.2) -> AP:80(外123.1.2.3/ 內192.168.0.1)->NAS:8080(192.168.0.2)
如果QuFirewall只設定允許192.168.0.1,則QuFirewall不允許142.1.4.2連線。
中華 光世代300m/100m (小烏龜)
↓
實体防火牆 USG FILE 100 , port:555(預設 80,要自行更改)
PPPoE 固定ip 123.1.2.3 / 內192.168.0.1
實体防火牆 NAT 對應到 NAS 設定如下
| 外ip | 內ip | 外port | 內port | 備註 |
| 123.1.2.3 | 192.168.0.2 | 80 | 666 | 網站 |
| 123.1.2.3 | 192.168.0.2 | 777 | 888 | QNAP QTS |
NAS 系統,port:888 (Adapter 1 內ip 192.168.0.2)
主要DNS伺服器:123.1.2.3
網站伺服器 port:666
QuFirewall 的 Adapter 1 (外網) 只開放 內192.168.0.1,其餘禁止。Adapter 2 (內網) 只開放內部連線電腦 內ip
NAS 關閉 UPnP,關閉 公開服務,關閉 ssh 。(以上,安全考量)
ps. 紅色字体為假設數字
奉上5星評分!^^
