標題: [教學] QNAP - 立即停止將 NAS 暴露於外網，共同打擊網路犯罪 [打印本頁]

---

作者: kofz    時間: 2022-1-26 17:47     標題: QNAP - 立即停止將 NAS 暴露於外網，共同打擊網路犯罪

本帖最後由 kofz 於 2022-1-26 18:18 編輯

台灣台北，2022 年 1 月 26 日 – 威聯通®科技 (QNAP® Systems, Inc.) 近日發現一種名為 DeadBolt 的勒索軟體正試圖攻擊暴露於外網的 NAS。該勒索軟體將會劫持 NAS 登入畫面，並對受害者勒索比特幣。QNAP 強烈呼籲所有 NAS 用戶立即依照以下方法檢查您的 NAS 是否暴露於外網，並確認路由器及 NAS 的安全設定是否完備，並儘速更新 QTS 至最新版本。

如您的 NAS 登入畫面已遭到劫持，您可在 NAS 網頁登入網址後方加上 ”/cgi-bin/index.cgi“，即可正常登入。例如： http://nas_ip:8080/cgi-bin/index.cgi ，並立即聯繫 QNAP 客服。

檢查您的 NAS 是否暴露於外網

開啟 QNAP NAS 的 Security Counselor 程式，如發現 “The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP” 的警示文字，代表您的 NAS 正暴露於外網，風險極高。

QNAP 資安防護

如何查詢已暴露於外網的埠號？
https://www.qnap.com/go/how-to/faq/article/how-to-know-which-ports-on-the-router-are-opened-to-the-internet

詳細請去
https://www.qnap.com/zh-hk/security-news/2022/%E7%AB%8B%E5%8D%B3%E5%81%9C%E6%AD%A2%E5%B0%87-nas-%E6%9A%B4%E9%9C%B2%E6%96%BC%E5%A4%96%E7%B6%B2%E5%85%B1%E5%90%8C%E6%89%93%E6%93%8A%E7%B6%B2%E8%B7%AF%E7%8A%AF%E7%BD%AA?ref=web_push

就咁睇

對外開 port好危險

我估新 fw都未 fix哩個漏洞.....

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

---

作者: jackwong717    時間: 2022-1-26 17:55




    我都怕怕了.....都係VPN後登入
(之前未出過事)

---

作者: rhk101    時間: 2022-1-26 19:18

回復 1 #kofz

咁攪法，以後揾鬼買 QNAP 嘅 NAS.....

via HKEPC Reader for Android

---

作者: tunster    時間: 2022-1-26 19:22

轉佐用 reverse proxy. 無有怕

---

作者: kofz    時間: 2022-1-26 19:27


自我露底。。。

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

---

作者: kk30    時間: 2022-1-26 20:59

本帖最後由 kk30 於 2022-1-26 21:51 編輯

QNAP 真係怕怕

叫人唔好開port 80 同 443，我有時要share file比人, 唔可以下下教人用VPN連去自己屋企

---

作者: ToNg.    時間: 2022-1-26 21:01

不如直接取消功能啦

---

作者: jozifkwan2021    時間: 2022-1-26 21:25

近期中伏者之一，QNAP重話唔關佢事

---

作者: sp4148    時間: 2022-1-26 23:04

咁在外面怎用 qsync?

---

作者: freefdhk    時間: 2022-1-26 23:29




    NAS 既賣點係 輕鬆建立檔案連結去SHARE FOLDER /FILE 比朋友.
好多公司都係咁樣過FILE比客人.  而家咁搞睇怕佢地會轉DROPBOX  /GOOGLE DRIVE.

---

作者: johnlai9    時間: 2022-1-26 23:38

痴線, 買個NAS 跟住叫你唔好開放出去......
真係好後悔當年買QNAP.

---

作者: t1174-3    時間: 2022-1-27 01:03

本帖最後由 t1174-3 於 2022-1-27 01:05 編輯

如果說真正的 NAS 其實都不太是比你放出去的就是。但是 Qnap 現在推廣功能都約多已是推廣可以放出去用，現在咁出事，而且不只一次，而是一而再出事的確是大問題。真不知 Qnap 會不會反省改好了。

P.S. 我自己 S 記就有一台是會外網admin 的看來都要小心

---

作者: t1174-3    時間: 2022-1-27 01:07




    點樣用 戶向 proxy? 我那反向 proxy 就是 server 自己，就是加了 HTTPS 那一 樣，而不是 CDS. 有方法的嗎？

---

作者: fakeman    時間: 2022-1-27 01:51




    其實你知唔知 proxy server 嘅用途同特點（唔理 forward/reverse）？當你知道之後就會明點解會安全 d.....

---

作者: tunster    時間: 2022-1-27 10:29



myqnapcloud 本身就有 reverse proxy. 唔駛開 port, 加隻機入去就得,  login 去 qnap 個網再入返自己隻嘢

如果無辦法要開出街, 仲要個保險法, 裝佢個 Firewall, 可以只放地區, 如果你只係香港用就放香港區, 其他地方唔會入倒你隻嘢.

仲要 disable 個 default admin, 開另一個做 admin, 如果咁都俾人炸瓜, 只可以話炸你嗰個真係同你有仇

---

作者: pc1668    時間: 2022-1-27 10:52



No more Q brand for long

---

作者: KinChungE    時間: 2022-1-27 10:56



S記都曾經試過有Synolocker
如果真係必要放出街, 改一改個port會好少少

---

作者: 炎冬    時間: 2022-1-27 11:03




    用FTP~~

---

作者: 炎冬    時間: 2022-1-27 11:04




    qsync應該是用8080

---

作者: ChingTszHong    時間: 2022-1-27 11:06

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: pc1668    時間: 2022-1-27 11:11



"啲人話"

---

作者: fakeman    時間: 2022-1-27 11:12




    reverse proxy 已經幫到好多.....

---

作者: kk30    時間: 2022-1-27 12:22




    唔係人人都識電腦， 你同人講FTP，佢問你:食得架?

---

作者: 炎冬    時間: 2022-1-27 12:28

本帖最後由 炎冬 於 2022-1-27 14:16 編輯



    我只提出其他Protocol, 識唔識用就見人見智, 如果唔識電腦, 又唔肯去學, 最好連NAS都唔好用, 好易set錯..用返DAS算吧啦~
p.s. 等於唔識用智能手機, 為有用返傳統普通手機

---

作者: kk30    時間: 2022-1-27 13:30

本帖最後由 kk30 於 2022-1-27 13:32 編輯



    但最慘係老闆出糧比你, 佢唔駛識用電腦, 你只可以用最簡單的比條link佢加pw

我識飛天都無用, 佢一句咁煩架, 你錢都無

p.s. 有錢真係唔駛識用智能手機, 叫個助手搞掂就OK

---

作者: sp4148    時間: 2022-1-27 13:40

回覆 19# 炎冬


    係呀，咁8080有冇事呢？

---

作者: tongkai    時間: 2022-1-27 13:45

lets encrypt  > cloudflare > reverse proxy > firewall whitelist (cloudflare IP only)

But my Qnap is for internal only, vlan + firewall policy

443 for mobile > Synology sync

回覆 4# tunster

---

作者: t1174-3    時間: 2022-1-27 14:22


PORT 當然改了, 不過好像也已不太夠

---

作者: t1174-3    時間: 2022-1-27 14:27



新買可能會多一東西考慮囉. 不過乜事也沒100%, 當年好像是S記先中招, 當然 Q記FANS 不是也出來串過嗎.

其實 Q記要用, 用VPN 等等包住用還是可以, 不過說真, 就是 S記我想至少 ADMIN 也要包住用,
S記有一東西比 Q記好是好多自家 SERVICE 可以自己一個 PORT, 比如 ADMIN 用一個, FILESTATION 用一個. Q記我還沒找到.

---

作者: t1174-3    時間: 2022-1-27 14:30




    其實 reverse proxy如何用, 我自己的reverse proxy就是自己, 就是叫加了HTTPS, 好像不太有用. 可有用外的reverse proxy 的教學?

---

作者: 炎冬    時間: 2022-1-27 14:34




    上面一路都是講用家, 你就彈個老闆要求乜要求乜, 其實用File Station仲複雜, 又要Login 又要開APP仲要download / Upload. 用FTP你set好晒ID/PW, 一click個APP就可以看到個folder, 手機好多file manager APP都是FTP功能.

p.s.  如果有錢又唔識用智利手機, 乜都叫個私人助理做, 連同女人要book酒店, 個助理都知好多秘密~~~

---

作者: hk517    時間: 2022-1-27 14:41

Q記唔掂就係唔掂, 公道講句, 有人自組server裝黑群, 有冇人會裝黑Qnap o丫

---

作者: t1174-3    時間: 2022-1-27 14:56

本帖最後由 t1174-3 於 2022-1-27 14:57 編輯



   有黑 QTS 嗎? 不過有黑DSM 不是 SYNO 都不夠保安嗎? 不過 MAC OS 也有黑版本就是.
但DSM 比 QTS 好(用家而言)其實也一直是共識吧.

---

作者: jackwong717    時間: 2022-1-27 14:58

回復 32 #hk517

我白Q都唔想用，點會想去玩黑Q，黑裙我就有著上身。

唔錯！

Android 紅米note8pro

---

作者: kk30    時間: 2022-1-27 15:38

本帖最後由 kk30 於 2022-1-27 15:58 編輯



   個NAS係我, 我share比我啲客咁我就唔係用家?個NAS我比錢買, 咁都唔算係用家
同埋我都唔係諗住叫人用file station(自己沖出尼),  我只係最簡單咁用share link 再係條link set pw
有啲人真係連FTP都唔識, 你搞咁多嘢D人就怕煩唔搵你, 你當個NAS係玩具, 自閉玩緊係無問題

大哥我知你係電腦天才, 但你唔好當全世界啲人都同你一樣咁天才先得架

---

作者: kk30    時間: 2022-1-27 16:05

本帖最後由 kk30 於 2022-1-27 16:40 編輯



    嘩, 著 都夠膽公開講

---

作者: kofz    時間: 2022-1-27 16:20


小心犯版規

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

---

作者: jackwong717    時間: 2022-1-27 16:30




    無我呢D著黑色裙子友....S記賣少好多機

問我NAS朋友..都叫佢買S
我中係呢度幫手做少少免費支援服務

---

作者: kk30    時間: 2022-1-27 16:45




    我以前都係著black skirt, 覺得真係幾啱身,之後就轉著白裙

---

作者: 炎冬    時間: 2022-1-27 16:55




    用FTP share野比人都可以用一條link做埋, 連id: pw都預先入了.
ftp://user:password@host:port/path

---

作者: javacomhk    時間: 2022-1-27 17:01

本帖最後由 javacomhk 於 2022-1-27 17:04 編輯

基本上呢類嘅NAS 就唔應該直接開port 出街。一定要加多層 firewall。用得password login 就一定比人 hack。

---

作者: jackwong717    時間: 2022-1-27 17:05

本帖最後由 jackwong717 於 2022-1-27 17:12 編輯



    咁同分享成個FILE都差唔多,有咩分別??

圖片附件: 螢幕擷取畫面 2022-01-27 170358.jpg (2022-1-27 17:05, 99.66 KB) / 下載次數 142
https://www.hkepc.com/forum/attachment.php?aid=2304619&k=41aab7f1ca2dac218432a871ae7f0c90&t=1781662092&sid=a7lQLalXYc

---

作者: kofz    時間: 2022-1-27 17:31


咁點解 s廠又冇出警告開 port有保安問題？

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

---

作者: pc1668    時間: 2022-1-27 17:39



Good question

---

作者: madebyp90    時間: 2022-1-27 17:47




    你可以set user權限
但而家係比人sql inj再lock file

---

作者: jackwong717    時間: 2022-1-27 17:53

本帖最後由 jackwong717 於 2022-1-27 17:54 編輯



    我意思如果比客睇佢D資料,
分享比佢下載比FTP方便!
FTP留番D老鬼用,

---

作者: fakeman    時間: 2022-1-27 17:59




    其實 proxy，中文都話係代理。佢將你嘅 request 轉發，睇落好似好無聊（特別係 incoming），但其實正因為佢係代理，所以先解決到好多 security 問題。

首先 HTTP request....有好多 attack 係利用 web service 漏洞係URL 做手腳，整到個 service 炒粉然後 escape root，之後佢想點都得。代理會幫你食哂 d request....有問題既 request 佢轉發唔到（因為 proxy 都係跟 standard 做嘢，佢點會自己generate 有問題 request 俾你個 service?)，萬一個漏洞整死咗 reverse proxy，佢上面冇 data，而且 by default proxy 唔使用 root 於是佢入到嘅權限都好低，亦唔知你本身轉發 target 係邊。

S 記 DSM 7 做多樣嘢，就係 3rd party software 唔可以直接取得 root access right，呢個好重要，特別有 docker 之後，如果你 docker 用 root 開 service 出事就 GG....新做法唔俾 docker 以 privileged mode 行會麻煩咗但亦安全咗。

---

作者: t1174-3    時間: 2022-1-27 18:08



所以說REVERSE PROXY 就是自己也不是問題嗎?

ROOT 問題, DSM 6.2 下 DOCKER 好像也不一定會用 ROOT, 好像 SYNCTHING 就是, QNAP 版 SYNCTHING 就不明原因一定是 ROOT.

---

作者: fakeman    時間: 2022-1-27 18:15




    俾人 hack 咗咪立即變黑....

---

作者: fakeman    時間: 2022-1-27 18:26




    DSM 6.2 docker 可以揀 privileged mode（即係有 root），正常會叫你唔好用咁解，但因為用 root 方便梗有人會亂用

我唔明你講既 reverse proxy 係自己係咩意思......

---

作者: t1174-3    時間: 2022-1-27 18:31




    不是SYNO 一向叫人用 QC 多, 而不是開 PORT 嗎? 而且, SYNO 比 QNAP 有一好處 (A記不知)是 SYNO SERVICE 可以不同 PORT, 比如 ADMIN 用123, FILE STATION 用 456, 小小比較安全吧. 可以說, SYNO 中過加密後, 真是好有心在保護身上, 雖然不可能完美, 大把 HACKER 在找地方鑽, 但也是好方向.

QNAP 就現在上到 4.X 但問題也多多. 但大多數 NAS 也是 4.X 升上去 5.0, 而不是重新安裝. QNAP 在上 QTS 5.0 時沒有好好把握清查用戶的QTS, 問題也一直出現呢. 我個人就新起了 QTS 5.0, TOUCH WOOD 未有出事, 也不會比它ONLINE. 反正本來就是用了多年的NAS, 我小心用大約問題不大.....就是一個問題, 打算用它在 KEEP 相和META DATA, 相有 BACKUP, 去台台 NAS 也是一樣, 但 QUMAGIE 的META DATA 呢.....看來還是用來DELETE 下相好了, 不要用乜 AI.....會白做.

---

作者: t1174-3    時間: 2022-1-27 18:34

reverse proxy server 就是 NAS 自己其中一個 DOCKER/功能, 而不是出面另有一台機, 也不是VM

---

作者: fakeman    時間: 2022-1-27 19:01




    無錯，呢個可以係機上嘅 service 其中之一，但一樣可以加強安全

原因上面有講，你自己嘅 program listen HTTP 有 bug 唔奇（唔似 open source 咁多人 debug），以前試過幫人搞活動裝個 Joomla 然後因為 hosting web server 冇 patch 好就俾人用 sql injection 種咗假銀行網站搞到俾人報警先知道。如果用 reverse proxy，首先佢唔會自己 gen 個 injection code 俾你嘅 service，即係行唔到對家嘅 malicious code。第二，如果對家整到個 proxy 香咗，因為個 proxy 唔係 root 權限所以佢只能夠係果個有限範圍活動，亦搞唔到其他嘢。所以先話 non-root process 好重要，著名 *nix mail server Sendmail 就係因為一直都以 root 運行（近年好似終於唔係），所以佢一出事就會俾人 gain root 而成為重點攻擊對象，後期新進嘅 EXIM/Postfix/Qmail 呢 d 就分拆到只有極少部分可以用 root 運行（因為 listen < 1024 port 點都要 root），去減低 security risk。

---

作者: t1174-3    時間: 2022-1-27 19:15

本帖最後由 t1174-3 於 2022-1-27 19:19 編輯

這個好像還未明白，雖然一定在用它來加 HTTPS，但為何可能加到像 firewall 的功能還是不太明。另外有個 cloudflare 的 reverse proxy. 反也有點想知點用，但看來要錢。而且，都不知還可以 直接 Access 那面多少時間。

現在說，有個方法是 firewall 限死 NAS 只食 cloudflare 來的 traffic, 在外用就用 它來 proxy, 咁就 server 的 IP 都見不到。問題是像這一次，如果對方是用掃 port 去找 QNAP NAS, 聽說用到 2fa 都是會中招。

---

作者: fakeman    時間: 2022-1-27 19:29




    就算唔係用來加 HTTPS 都會好 d

其實個 concept 唔難明啫，所有 request 佢轉送俾你，實際上唔係左手交右手，而係佢基於對外部 request 嘅理解然後用佢自己嘅方法 send 返俾你。對於 d 佢睇唔明嘅 request（通常都係 d malicious code），佢一係彈 error，一係就會 cut 走咗先送去你 server（因為佢自己唔會 send malicious code)

---

作者: t1174-3    時間: 2022-1-27 20:42




    但反向代理點會知 send 來的 request 是不明呢？那個反向代理服務的setting 沒什麼像防毒的東西。像 cloudflare 那些就可以加防火牆，但自建這些不太見。

---

作者: icefire    時間: 2022-1-27 21:05



要用返www.myqnapcloud.com做中介
咁緊係冇自己NAS直接做server咁快咁爽
但至少myqnapcloud唔洗錢, 冇public IP都用倒

---

作者: t1174-3    時間: 2022-1-27 21:17




    兩難是用 myqnapcloud 可能就會話比外網聽這裡有個 Qnap NAS….可能反變成危險。一日Qnap 廠沒理清其實是甚麼事和解決了，用 Qnap 自家的服務接外網，都可能有風險呢。說真，就是 Qnap 說已經修好了漏洞，我個人都不太信任就是。

就是本身要用外網的機會十分少，而且機也用多年，早就是二線 BACKUP 機方還用它呢。

---

作者: icefire    時間: 2022-1-27 21:39



咁就要睇QNAP嘅myqnapcloud link server會唔會比人hack入
理論上用myqnapcloud可以完全封唒外網連入NAS嘅任何服務, 只有NAS自己連上myqnapcloud link server.

---

作者: madebyp90    時間: 2022-1-27 21:52




    而家係差過windows做os.......

---

作者: fakeman    時間: 2022-1-28 00:54




    你試下調轉諗

如果 reverse proxy implement 嘅嘢太 standard.....好多時 URL based attack 就係會整瓜 webserver，即係最多係你隻 proxy 瓜咗。
另外，好多 cyber attack 都要類似 scan 下 fingerprint 咁上下，有 d 似踩線咁去試你有咩service open 緊（所以我成日強調話單純轉 port 避得一時避唔得一世，人地一掃就知），reverse proxy 就因為食哂所有 response 變成外面睇係估唔到你背後係乜，會增加攻擊難度

---

作者: t1174-3    時間: 2022-1-28 01:32

本帖最後由 t1174-3 於 2022-1-28 01:39 編輯

原來是咁，謝謝你。我都還是在想 咁 self host 好像不夠安全但放比大公司好像又冇 self host 的好處。

現在的 反向 proxy 在用兩個。syno 那個比較是 port mode. 比如 原本是 port 123 會加了 https 比 port 456. 其實 router 還是要一個一個 map port. Unraid 那個就比較是 sub domain，比如是 service.domain.net 咁。而 domain.net 就會是 一個 反向 proxy 自己的page. 而不是404。。。。會不是點問題？

---

作者: t1174-3    時間: 2022-1-28 01:45




    是的，但 Qnap 那個 link server 會比人hack 入我一點也不奇怪就是。反正現在有其他方法，先唔好用 那個會比較保險。

---

作者: fakeman    時間: 2022-1-28 02:38




    有 reverse proxy 仲要 forward 咁多 port 做咩？改 domain name 就得嘞

---

作者: jholeass    時間: 2022-1-28 08:29

cls,唔放port我洗鬼用qnap

---

作者: 觀星是答案    時間: 2022-1-28 09:08

作為 LAN 內 storage , 唔放 port 出街對我無乜影響
不過 Q 既 software 一直咁出問題都唔係辦法 , 難保有日唔放 port 出街仍然會中招

---

作者: t1174-3    時間: 2022-1-28 12:03




    SYNO BUILD IN 那個要呀, 可能是我不太會用, 但那個東西沒有找到可以用 SUB DOMAIN 去排 PORT 的方法,

---

作者: t1174-3    時間: 2022-1-28 12:04




    同意, 尤其同NETWORK 上可能有其他如 PC 等等. 串燒不是不可能.

---

作者: t1174-3    時間: 2022-1-28 12:05

本帖最後由 t1174-3 於 2022-1-28 12:11 編輯


其實, 因為 HACKING, IP不夠用 等問題, 早已就放PORT 已不安全. 不只是 QNAP/NAS 的事. 如我們還在討論的 反向 PROXY, 以至 其他 如 QC/MYQCLOUD/ ZERO TEIR/ VPN 等等好多方案. 而放棄用直接 PORT FORWARD.

其實大陸叫這"加速" 有時也是真了. 比如, 朋友在 UK SEND 回以前D 相比我, 開始用 FILE STATION 真是慢. 後想 他UP 我GOOGLE DRIVE, 我DOWN 返快了真是N倍.

---

作者: fakeman    時間: 2022-1-28 13:34




    點同，直線去你屋企就睇線路點走，但 cloud based 嘅佢哋有自己嘅 peering 點都唔會慢

---

作者: fakeman    時間: 2022-1-28 13:35




    aaa.domain.com -> IP_1:1234
bbb.domain.com -> IP_1:5678

唔得？

---

作者: t1174-3    時間: 2022-1-28 14:17

本帖最後由 t1174-3 於 2022-1-28 14:23 編輯

會不會是那只 * 就是?
TEST 不WORK
另外可能加一級 PASSWORD 嗎?
可能 DSM ADMIN 也可以轉入來嗎?

圖片附件: 擷取.JPG (2022-1-28 14:16, 13.38 KB) / 下載次數 141
https://www.hkepc.com/forum/attachment.php?aid=2304744&k=0bf81d3a7692d54cf6e4b20828c3b832&t=1781662092&sid=a7lQLalXYc

---

作者: fakeman    時間: 2022-1-28 14:38




    主機名稱係重點，因為 webserver 係識睇 URL header 知你想要咩 domain....

---

作者: t1174-3    時間: 2022-1-28 14:42




    應該是, 但就是不 WORK. 剛TEST 了一次, 不會是要REBOOT 先生效吧. 而且 PORT 又是多少呢? 個 PROXY 本身是PORT 多少好像又是沒有地方 SET

---

作者: fakeman    時間: 2022-1-28 14:45




    你有 multiple domain set 好咗？Internal test 的話你都要 set 好 DNS

---

作者: t1174-3    時間: 2022-1-28 14:52




    EXTRENAL TEST 呀. 因為是TEST.
可能真是 DOMAIN 那面的事, 但應該是SET 乜也指同一IP 吧. DNS 那HOST FILE 就是大問題

---

作者: t1174-3    時間: 2022-1-28 14:58

奇想一下, 可能用個小電腦跑反向代理, QNAP NAS ADMIN 等也指它出, 而且它是SLEEP 的, 要SOMEHHOW WOL 它先行, 那不就會安全一點?

---

作者: fakeman    時間: 2022-1-28 15:12




    其實係無問題的，冇話 reverse proxy 一定要同一部

---

作者: fakeman    時間: 2022-1-28 15:12




    但你話唔 work，係 2 個 domain 都會睇到相同嘢？

---

作者: stanleykao00    時間: 2022-1-28 17:55

如果改左https port no. 會唔會好啲？

---

作者: kofz    時間: 2022-1-28 19:08


根本個fw就有漏洞

一開 port就比黑客掃到

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

---

作者: 5qg    時間: 2022-1-28 22:28

回覆 78# fakeman

https://www.qnap.com/en/how-to/t ... -remote-connections
想請教, 跟以上方法, 唔知點解 兩個地方 Port 443 SET 唔到一樣.



圖片附件: [1] NAS1.jpg (2022-1-28 22:27, 109.79 KB) / 下載次數 142
https://www.hkepc.com/forum/attachment.php?aid=2304793&k=08979d1aa11a769be5261e42f9704d56&t=1781662092&sid=a7lQLalXYc



圖片附件: [2] NAS2.jpg (2022-1-28 22:27, 81.02 KB) / 下載次數 157
https://www.hkepc.com/forum/attachment.php?aid=2304794&k=27555c9fd0b1c9a93839c779c84935b8&t=1781662092&sid=a7lQLalXYc

---

作者: fakeman    時間: 2022-1-29 00:21




   我唔係好睇得明你做緊咩.....

---

作者: 5qg    時間: 2022-1-29 01:22

回覆 83# fakeman

第一張圖Port number SET 了443
第二張圖( Add Reverse Proxy Rule) Port number 想 SET番一樣是443 ,
但唔得

---

作者: fakeman    時間: 2022-1-29 03:39




    你個 GUI 食咗 443 port.....reverse proxy 點用到？

---

作者: 5qg    時間: 2022-1-29 11:40

回覆 85# fakeman

如果 Reverse Proxy Rules SET了
Source : https://xxxxx.myqnapcloud.com:1234
Destination : https://localhost:6789
但用Chrome 打https://xxxxx.myqnapcloud.com:1234
This site can’t be reached

是否仲有其他野未SET (eg, router port forwarding,,,,etc)

---

作者: t1174-3    時間: 2022-1-29 13:14




    問題是安全性比到多少?是不真是可以處理到.

---

作者: t1174-3    時間: 2022-1-29 13:18




    比如咁.
MAP 了abc PORT 9000 --> domain.com:10000 = https://domain.com:10000 OK 可以 去 abc
MAP 了abc PORT 9000 --> domain.com, 主機 abc, Port 10000 = https://abc.domain.com:10000 error 404 但 https://domain.com:10000 OK 可以 去 abc
MAP 了abc PORT 9000 --> domain.com, 主機 abc only, 不打 PORT =....不知點入, 因沒有 PORT, 不會是443 OR 80 吧.

---

作者: t19922006    時間: 2022-1-29 16:01

回覆 80# stanleykao00

唔會
換S記最快同簡單
根本Q記保安性係0, 唔係點解S記中招次數少咁多
政府宣傳話啲小偷一定揀易唔揀難

---

作者: fakeman    時間: 2022-1-29 16:54




    其實全部 IN 用晒 443/80....然後 NGINX 去按照 domain name, e.g. abc.domain.com -> 192.168.1.10:8000, xyz.domain.com -> 192.168.1.20:9000 咁唔係最好？點解你 IN 又要整第二個 port?

---

作者: fakeman    時間: 2022-1-29 16:56




你個 1234 點來？？？

---

作者: fakeman    時間: 2022-1-29 16:57




    我唔明你問嘅 "是不真是可以處理到" 係咩意思

---

作者: 5qg    時間: 2022-1-29 17:46

回覆 91# fakeman

是自己在Reverse Proxy Rules 內改

其實Reverse Proxy 的玩法是不是這樣SET 法,
或者師兄可否講下你是如何玩Reverse Proxy

圖片附件: NAS2 copy.jpg (2022-1-29 17:45, 61.58 KB) / 下載次數 212
https://www.hkepc.com/forum/attachment.php?aid=2304865&k=74b6269f3c58e1fe72b1ade49fa8c0f5&t=1781662092&sid=a7lQLalXYc

---

作者: fakeman    時間: 2022-1-29 23:42




    我唔係用 QNAP.....不過其實 reverse proxy 原理基本都係果 d 嘢

你圖入眠嘅設定，會係 connect xxx.myqnapcloud.com:1234 時，會送去 localhost:6789

---

作者: t1174-3    時間: 2022-1-30 01:01




   就是說只有第二個 PORT 先 WORK, 只是 SET 主樹不 WORK. 原因是不知 SYNO 反向 PROXY 在唔 SET PORT 時是乜 PORT, ROUTER 沒開 UPNP, 不可叫SYNO 自己 MAP.

---

作者: t1174-3    時間: 2022-1-30 01:08




    呢.....政府宣傳話呢.....而且轉 S 也真是好大工程, 也要好多錢, 說就EASY, 已經入了個坑就只有想方法. 而且 S記也是中過的, 還記得當時比D Q友笑....

要知, 其實要中招是不一定是現在中說現在發病. 好多時中了是不會發病, 而是轉播, 等到 指定日期先會一起發病. 所以今日冇事, 其實也不就是沒有事, S記 Q記同樣也是要加強保護了. 我主力是S記也要在想加強保護了.

---

作者: t1174-3    時間: 2022-1-30 01:11


就是真是可以比 QNAP 的經反向 PROXY 接到外網, 而不怕現在的攻擊. 而且 SERVICE 是用到, 比如 QNAP 的APP 用到.

---

作者: fakeman    時間: 2022-1-30 01:53




    有呢種心態係好，我自己 client 電腦已經好耐無用 Windows，自己會用嘅 Windows 係 VM 入面 remote 做下嘢用，好少會 browse 外網

屋企係有打機 Windows PC，但部機唔會駁 NAS（就算要都唔用 admin login），減低 windows 中招後一鑊熟機會

---

作者: fakeman    時間: 2022-1-30 01:56




    應該咁講，如果人哋知道你係 QNAP 都有可能 craft 到 d 嘢去整死，但就好似我之前講，因為隔咗一層，出面嘅人只見到有個 reverse proxy 但唔知真實 server 係乜，佢可以撞但你亦可以係 reverse proxy set rate limiting 防止無限試。去到咁上下你見到 log file 就會知有人撞然後諗點做