找回密码
 立即注册
搜索
查看: 5741|回复: 33

[网络] 用反向代理是不是能避免被扫描端口发现开放的服务?

[复制链接]
     
发表于 2024-2-21 13:37 | 显示全部楼层 |阅读模式
刚开始接触反代,不太清楚自己的理解对不对。
我现在用lucky做反代,假设A.XYZ.CN:12345指向我的alist服务器。
然后有人用软件对我的IP或XYZ.CN扫描全部端口,是不是只要他不知道我在反代里设置的二级域名A,就没法发现我开放的这个alist?
回复

使用道具 举报

     
发表于 2024-2-21 13:47 | 显示全部楼层
本帖最后由 moondigi 于 2024-2-21 13:51 编辑

我只用nginx
1.启用https,禁止纯ip访问
2.自己签一个证书,域名例如是haha.163.com
3.客户端信任你自己的ca,改host》你的ip haha.163.com

回复

使用道具 举报

头像被屏蔽
     
发表于 2024-2-21 14:05 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2024-2-21 14:15 | 显示全部楼层
不理解,如果都明确ip 扫ip 了,还和域名有什么关系呢……
回复

使用道具 举报

     
发表于 2024-2-21 14:45 | 显示全部楼层
理论上是这样的。这样路由器就只要映射一个端口出来就行了。
不过二级域名输入还是麻烦,要么弄个导航页,要么还是Wiregurad 直接回家方便。
回复

使用道具 举报

     
 楼主| 发表于 2024-2-21 15:02 | 显示全部楼层
董卓 发表于 2024-2-21 14:15
不理解,如果都明确ip 扫ip 了,还和域名有什么关系呢……

我的理解是:
直接映射服务的端口,那么有人访问IP:端口就能看到我的服务,所以用端口扫描很容易发现映射的服务。
用反代,只开反代的端口,那么从外网只能访问到反代,然后反代会比对来访的域名再决定是否转发到服务上。
所以开了反代,扫描IP就没用了,只能用设置好的二级域名加端口来访问。
回复

使用道具 举报

     
 楼主| 发表于 2024-2-21 15:03 | 显示全部楼层
chinesepy 发表于 2024-2-21 14:45
理论上是这样的。这样路由器就只要映射一个端口出来就行了。
不过二级域名输入还是麻烦,要么弄个导航页, ...

弄了导航页了。
之前弄wireguard感觉还是麻烦,每台设备都要配置密钥。
回复

使用道具 举报

头像被屏蔽
发表于 2024-2-21 15:16 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2024-2-21 15:16 来自手机 | 显示全部楼层
反代比对域名,正确就转发上游服务器,这个可行。

我之前搞了个更复杂的对付联通宽带主动扫web端口,首先haproxy检查sni(域名)如果正确转发到nginx,nginx检查域名后的子路径是否正确,如果正确就转发到最终服务。
最终效果:
使用IP+端口不能访问,无TCP回包
使用IP+端口不能建立SSL连接
使用域名+端口不能访问,无TCP回包
使用域名/路径+端口正常https访问

由于路径是在https加密的,域名在sni是不加密的,防止运营商抓到域名进行探测。
回复

使用道具 举报

     
发表于 2024-2-21 15:26 | 显示全部楼层
借楼问下有ipv6有公网,有啥安全傻瓜远程组网的办法吗,看了下Zerotier,Tailscale等等一大堆,不知道哪个比较适合小白

—— 来自 S1Fun
回复

使用道具 举报

     
发表于 2024-2-21 15:42 | 显示全部楼层
你挂个SS服务器 只暴露它的外网端口 所有内网相关操作连回去再玩 宽带给的上传就那么点 也不怕它跑起来吃多少CPU
回复

使用道具 举报

     
发表于 2024-2-21 16:05 | 显示全部楼层
noahhhh 发表于 2024-2-21 15:26
借楼问下有ipv6有公网,有啥安全傻瓜远程组网的办法吗,看了下Zerotier,Tailscale等等一大堆,不知道哪个 ...

Zerotier,Tailscale已经很傻瓜,两个用法都差不多,两个都试过Tailscale打洞比较快
回复

使用道具 举报

发表于 2024-2-21 18:10 来自手机 | 显示全部楼层
本帖最后由 hrha 于 2024-2-21 18:14 编辑

  
回复

使用道具 举报

     
发表于 2024-2-22 02:43 | 显示全部楼层
本帖最后由 wdw 于 2024-2-22 02:45 编辑

HTTP的话,你给反代加个BA不就行了,别人扫到了也不知道是啥
别的我现在都用Cloudflare的Zero Trust解决了



回复

使用道具 举报

     
发表于 2024-2-22 08:04 来自手机 | 显示全部楼层
我用的Nginx,cf套一层代理,服务器只开放443和ssh端口,Nginx监听443基于SNI转发不同域名的流量到不同的后端服务

—— 来自 motorola XT2301-5, Android 14上的 S1Next-鹅版 v2.5.2-play
回复

使用道具 举报

     
发表于 2024-2-22 11:31 | 显示全部楼层
木谷高明 发表于 2024-2-21 15:16
反代比对域名,正确就转发上游服务器,这个可行。

我之前搞了个更复杂的对付联通宽带主动扫web端口,首先h ...

请问你这方法的这些东西都是本地配置还是需要云服务器?
回复

使用道具 举报

     
发表于 2024-2-22 12:45 来自手机 | 显示全部楼层
xiaoyaowuming 发表于 2024-2-22 11:31
请问你这方法的这些东西都是本地配置还是需要云服务器?

百元硬路由刷openwrt,软件包里装了nginx和haproxy就行,布在nas或者玩客云这些也行
回复

使用道具 举报

     
发表于 2024-2-22 12:49 来自手机 | 显示全部楼层
我用的**反代,这样开着**也能访问家里的服务器
回复

使用道具 举报

     
发表于 2024-2-22 13:37 | 显示全部楼层
小贝伦 发表于 2024-2-21 16:05
Zerotier,Tailscale已经很傻瓜,两个用法都差不多,两个都试过Tailscale打洞比较快 ...

tailscale 确实傻瓜,老爸老妈都能教会
回复

使用道具 举报

     
发表于 2024-2-22 14:26 | 显示全部楼层
木谷高明 发表于 2024-2-22 12:45
百元硬路由刷openwrt,软件包里装了nginx和haproxy就行,布在nas或者玩客云这些也行 ...

那你这个方案有没有啥教程?如果百元硬路由都行我是软路由肯定也没问题
回复

使用道具 举报

     
发表于 2024-2-22 18:15 | 显示全部楼层
各位用反代的,我想问一下你们服务器的带宽够吗?
回复

使用道具 举报

头像被屏蔽
     
发表于 2024-2-22 18:21 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

发表于 2024-2-22 19:51 来自手机 | 显示全部楼层
你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。

—— 来自 HUAWEI ALN-AL00, Android 12上的 S1Next-鹅版 v2.5.4
回复

使用道具 举报

     
 楼主| 发表于 2024-2-22 20:02 | 显示全部楼层
288794 发表于 2024-2-22 18:21
在路由器上配置好就可以了,为啥要每台都配置。

家里这边是路由器,但外面的手机、笔记本、工作用台式机要想连都需要分别配置一次不是吗
回复

使用道具 举报

     
 楼主| 发表于 2024-2-22 20:05 | 显示全部楼层
lhw369 发表于 2024-2-22 19:51
你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。

—— 来自 HUAWEI ALN-AL00, ...

单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢,这标记了能有啥用。
回复

使用道具 举报

     
发表于 2024-2-23 07:42 来自手机 | 显示全部楼层
lhw369 发表于 2024-2-22 19:51
你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。

—— 来自 HUAWEI ALN-AL00, ...

对,最好扫出来是DROP/REJECT
回复

使用道具 举报

     
发表于 2024-2-23 07:42 来自手机 | 显示全部楼层
风怒
回复

使用道具 举报

     
发表于 2024-2-23 07:43 来自手机 | 显示全部楼层
noneoneone 发表于 2024-2-22 20:05
单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢,这标记了能有啥用。 ...

pcdn设备也会用upnp开端口
回复

使用道具 举报

     
发表于 2024-2-23 10:08 | 显示全部楼层
理论上你需要对不符合的域名连接设置对应的错误码返回值,这样会安全一些

另外一个域名你只要尝试用第三方DNS解析了、或者主动连接了,或者签发了针对单域名的证书,就有可能会泄露出去,从而触发爬虫扫描。所以总体上你这个方案并不能保证其它人不能扫你。

安全的方案是想办法提供统一的内网接入,域名解析放内网
回复

使用道具 举报

     
发表于 2024-2-23 20:26 | 显示全部楼层
木谷高明 发表于 2024-2-21 15:16
反代比对域名,正确就转发上游服务器,这个可行。

我之前搞了个更复杂的对付联通宽带主动扫web端口,首先h ...

nginx一个就行了,非有效域名就ssl_reject_handshake,非有效路径就return 444
回复

使用道具 举报

     
发表于 2024-2-24 07:21 来自手机 | 显示全部楼层
moondigi 发表于 2024-2-23 20:26
nginx一个就行了,非有效域名就ssl_reject_handshake,非有效路径就return 444

感谢指教
回复

使用道具 举报

发表于 2024-2-24 07:45 来自手机 | 显示全部楼层
moondigi 发表于 2024-2-23 20:26
nginx一个就行了,非有效域名就ssl_reject_handshake,非有效路径就return 444

traefik可以做到这个么
回复

使用道具 举报

     
发表于 2024-2-24 13:48 来自手机 | 显示全部楼层
只能算好了一点,个人感觉风险偏高。
首先你的反代端口还是暴露的,端口会被扫到。
其次7层反代你不做什么处理的话等于公开这里有个http服务,虽然请求被拒绝了。
另外域名并不是什么保密的信息,可能在各种途径泄露。然后是如果有人拿到你的域名后怎么样?
回复

使用道具 举报

     
发表于 2024-2-24 14:56 | 显示全部楼层
noneoneone 发表于 2024-2-22 20:05
单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢,这标记了能有啥用。 ...

大家都用udp就你用tcp不说,其他的入站流量都能看出是什么应用,就你的神神秘秘,不抓你抓谁
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-15 06:46 , Processed in 0.093699 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表