用反向代理是不是能避免被扫描端口发现开放的服务？

noneoneone

刚开始接触反代，不太清楚自己的理解对不对。
我现在用lucky做反代，假设A.XYZ.CN:12345指向我的alist服务器。
然后有人用软件对我的IP或XYZ.CN扫描全部端口，是不是只要他不知道我在反代里设置的二级域名A，就没法发现我开放的这个alist?

moondigi

我只用nginx
1.启用https，禁止纯ip访问
2.自己签一个证书，域名例如是haha.163.com
3.客户端信任你自己的ca，改host》你的ip haha.163.com

董卓

不理解，如果都明确ip 扫ip 了，还和域名有什么关系呢……

chinesepy

理论上是这样的。这样路由器就只要映射一个端口出来就行了。
不过二级域名输入还是麻烦，要么弄个导航页，要么还是Wiregurad 直接回家方便。

noneoneone

董卓 发表于 2024-2-21 14:15
不理解，如果都明确ip 扫ip 了，还和域名有什么关系呢……

我的理解是：
直接映射服务的端口，那么有人访问IP:端口就能看到我的服务，所以用端口扫描很容易发现映射的服务。
用反代，只开反代的端口，那么从外网只能访问到反代，然后反代会比对来访的域名再决定是否转发到服务上。
所以开了反代，扫描IP就没用了，只能用设置好的二级域名加端口来访问。

noneoneone

chinesepy 发表于 2024-2-21 14:45
理论上是这样的。这样路由器就只要映射一个端口出来就行了。
不过二级域名输入还是麻烦，要么弄个导航页， ...

弄了导航页了。
之前弄wireguard感觉还是麻烦，每台设备都要配置密钥。

木谷高明

反代比对域名，正确就转发上游服务器，这个可行。

我之前搞了个更复杂的对付联通宽带主动扫web端口，首先haproxy检查sni（域名）如果正确转发到nginx，nginx检查域名后的子路径是否正确，如果正确就转发到最终服务。
最终效果：
使用IP+端口不能访问，无TCP回包
使用IP+端口不能建立SSL连接
使用域名+端口不能访问，无TCP回包
使用域名/路径+端口正常https访问

由于路径是在https加密的，域名在sni是不加密的，防止运营商抓到域名进行探测。

noahhhh

借楼问下有ipv6有公网，有啥安全傻瓜远程组网的办法吗，看了下Zerotier，Tailscale等等一大堆，不知道哪个比较适合小白

—— 来自 S1Fun

Saker_bobo

你挂个SS服务器 只暴露它的外网端口 所有内网相关操作连回去再玩 宽带给的上传就那么点 也不怕它跑起来吃多少CPU

小贝伦

noahhhh 发表于 2024-2-21 15:26
借楼问下有ipv6有公网，有啥安全傻瓜远程组网的办法吗，看了下Zerotier，Tailscale等等一大堆，不知道哪个 ...

Zerotier，Tailscale已经很傻瓜，两个用法都差不多，两个都试过Tailscale打洞比较快

hrha

  

wdw

HTTP的话，你给反代加个BA不就行了，别人扫到了也不知道是啥
别的我现在都用Cloudflare的Zero Trust解决了

剑起苍斓

我用的Nginx，cf套一层代理，服务器只开放443和ssh端口，Nginx监听443基于SNI转发不同域名的流量到不同的后端服务

—— 来自 motorola XT2301-5, Android 14上的 S1Next-鹅版 v2.5.2-play

xiaoyaowuming

木谷高明 发表于 2024-2-21 15:16
反代比对域名，正确就转发上游服务器，这个可行。

我之前搞了个更复杂的对付联通宽带主动扫web端口，首先h ...

请问你这方法的这些东西都是本地配置还是需要云服务器？

木谷高明

xiaoyaowuming 发表于 2024-2-22 11:31
请问你这方法的这些东西都是本地配置还是需要云服务器？

百元硬路由刷openwrt，软件包里装了nginx和haproxy就行，布在nas或者玩客云这些也行

elxy

我用的**反代，这样开着**也能访问家里的服务器

noahhhh

小贝伦 发表于 2024-2-21 16:05
Zerotier，Tailscale已经很傻瓜，两个用法都差不多，两个都试过Tailscale打洞比较快 ...

tailscale 确实傻瓜，老爸老妈都能教会

xiaoyaowuming

木谷高明 发表于 2024-2-22 12:45
百元硬路由刷openwrt，软件包里装了nginx和haproxy就行，布在nas或者玩客云这些也行 ...

那你这个方案有没有啥教程？如果百元硬路由都行我是软路由肯定也没问题

abcxiawei

各位用反代的，我想问一下你们服务器的带宽够吗？

lhw369

你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。

—— 来自 HUAWEI ALN-AL00, Android 12上的 S1Next-鹅版 v2.5.4

noneoneone

288794 发表于 2024-2-22 18:21
在路由器上配置好就可以了，为啥要每台都配置。

家里这边是路由器，但外面的手机、笔记本、工作用台式机要想连都需要分别配置一次不是吗

noneoneone

lhw369 发表于 2024-2-22 19:51
你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。

—— 来自 HUAWEI ALN-AL00, ...

单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢，这标记了能有啥用。

木谷高明

lhw369 发表于 2024-2-22 19:51
你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。

—— 来自 HUAWEI ALN-AL00, ...

对，最好扫出来是DROP/REJECT

木谷高明

风怒

木谷高明

noneoneone 发表于 2024-2-22 20:05
单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢，这标记了能有啥用。 ...

pcdn设备也会用upnp开端口

ChengChung

理论上你需要对不符合的域名连接设置对应的错误码返回值，这样会安全一些

另外一个域名你只要尝试用第三方DNS解析了、或者主动连接了，或者签发了针对单域名的证书，就有可能会泄露出去，从而触发爬虫扫描。所以总体上你这个方案并不能保证其它人不能扫你。

安全的方案是想办法提供统一的内网接入，域名解析放内网

moondigi

木谷高明 发表于 2024-2-21 15:16
反代比对域名，正确就转发上游服务器，这个可行。

我之前搞了个更复杂的对付联通宽带主动扫web端口，首先h ...

nginx一个就行了，非有效域名就ssl_reject_handshake，非有效路径就return 444

木谷高明

moondigi 发表于 2024-2-23 20:26
nginx一个就行了，非有效域名就ssl_reject_handshake，非有效路径就return 444

感谢指教

诶哟卧草

moondigi 发表于 2024-2-23 20:26
nginx一个就行了，非有效域名就ssl_reject_handshake，非有效路径就return 444

traefik可以做到这个么

紧那罗

只能算好了一点，个人感觉风险偏高。
首先你的反代端口还是暴露的，端口会被扫到。
其次7层反代你不做什么处理的话等于公开这里有个http服务，虽然请求被拒绝了。
另外域名并不是什么保密的信息，可能在各种途径泄露。然后是如果有人拿到你的域名后怎么样？

jie2000

noneoneone 发表于 2024-2-22 20:05
单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢，这标记了能有啥用。 ...

大家都用udp就你用tcp不说，其他的入站流量都能看出是什么应用，就你的神神秘秘，不抓你抓谁