请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
有一说一,家庭的公网,不是飞牛要关闭公网直连,严格来说,而是所有都要关,公网的正确用法应该是 vpn 、frp xtcp 、stcp 等一切加密作为入口,哪怕用 ss 来作为入口都行,不可能直接把服务的公网暴露出去啊,就算嫌麻烦也应该用白名单模式吧,这次是飞牛有问题,下次又不知道是什么了
 |
1
w568w 1 天前  10
我也是这样,但来给反方说点话:
1. 资源分享给他人不方便 2. 移动端配置访问麻烦(个人 VPN 和用来翻墙的 VPN 互斥,配置代理路由麻烦) 3. 有免费的公网映射服务,不用白不用 4. 自己配置麻烦 5. XTCP 不稳定,还是需要稳定的 NAT 穿透 |
 |
2
kagamiChen 1 天前
一般来说需要公网访问的资源,都有登录验证吧,虽然不保证这些 web 服务没有漏洞。
|
 |
3
kenvix 1 天前
安全与方便不可兼得。VPN 使用不方便,因此牺牲安全性换取方便性
|
 |
4
registerrr 1 天前
俩字:方便
|
 |
5
supemaomao 1 天前 2
我为反方说一点。
为异地的父母备份照片用。 |
 |
6
dmanbu 1 天前
我也喜欢暴露到公网,不过暴露出去的是正向代理端口,当然配了一个 32 位强密码
|
 |
7
TheNine 1 天前
能用 vpn 都用 vpn
|
 |
8
coolcoffee 1 天前 1
安全、方便、免费,这就是不可能三角。哪怕是 V 站相对专业也是有人觉得改个端口,改个复杂密码当鸵鸟埋沙地里就能万事大吉的。
|
 |
9
MiKing233 1 天前 38
跟公网暴不暴露有什么关系我请问? 走 FNConnect 也算公网暴露出去吗? 国产 NAS 像绿联极空间全部都自带外网访问不需要你有公网 IP, 为什么人家没出问题? 本质上不是系统漏洞造成的吗? 是蠢还是坏我真求你们这帮人了能不能别给飞牛在这边洗了?
|
 |
10
dode 1 天前
使用方便,喜欢 wg 可惜,Android 对 UDP 数据包兼容性太差了,局域网都爆卡
|
 |
11
dilidilid 1 天前 7
从普通用户的角度说,直接端口暴露就不说了大概率根本不懂,fn connect 这是 OS 官方提供的外网访问的通道,在非技术用户的眼里就是公网访问最靠谱的方案,比你说的 VPN 、FRP XTCP 、STCP 更有安全感,至于什么是直连这种技术细节那肯定是不懂的。
而且 fn connect 可是官方提供的唯一付费软件服务,fnos 也是宣传的对小白友好,到最后你被告知怎么这么没有安全意识,怎么会用公网直连这么危险的方案,我相信普通用户肯定是一脸的懵逼,你在说啥? |
 |
12
azwcl 1 天前
其实就是需要便利性,因为家里其他不懂技术的人,希望直接可以访问到;家庭 nas ,他们希望可以在外面使用;
|
 |
13
eber 1 天前
终于看到一个正常的帖子了!涉及自己隐私数据的存储,自己肯定要有一定的安全意识!!!我不是帮飞牛官方甩锅,飞牛确实处理的太慢。但是这次受影响的基本都是那些没有安全意识的,最起码的 web 和 ssh 默认端口也不改,上公网了防火墙也不开 这些人更不会想着用 web 防火墙了。 这次的事情能让大部分没安全意识的 NAS 用户提高安全意识也算半个好事了,毕竟成长总是要付出代价的(好奇有没有自己拍的小电影流出的🙈)。
|
 |
14
sentinelK 1 天前 1
是,我也不太懂为何你们要把家里大门暴露出去。
进贼了怪我门锁干什么,明明是你们要把家里大门暴露到外界的。 外面装个防盗门不好吗? |
 |
16
Hephaistos 1 天前
@eber fn connect 这种付费服务也怪用户暴露公网么
|
 |
18
Neolin 1 天前
走飞牛官方的 FN Connect 都会出问题的,又不是只有用户自己折腾才会暴露到公网上。FN Connect 已经算是飞牛的盈利方式了,有收费版
|
|
20
sentinelK 1 天前 1
哦对了,门锁厂家还有窃贼一键通服务哦,用户你只要交钱,即便你的大门开在天上,飞牛也可以一键送贼到家。
|
 |
22
PrinceofInj 1 天前 via Android
你喜欢安全,我喜欢方便。我甚至曾经把路由器的 ssh 暴露过,没开秘钥登录,用的 32 位随机密码,每天都要收到爆破的记录,让他们尽管爆破去吧,我及时更新系统,被破了算我倒霉。包括我现在阿里云的主机也是这样的,没次想用的时候直接就远程连上去了。
|
 |
24
icy37785 1 天前
上面怎么好几个,连这次的漏洞是什么东西都没弄清楚的,就开始指点江山了。甚至还是开始定义“正常的帖子”的。
这次跟暴露公网有什么关系,跟设置密码有什么关系。好歹知道这次爆出来的漏洞是什么漏洞之后再发言吧。 |
|
27
dilidilid 1 天前 1
@cat55 你说的对技术论坛用户确实有一定价值,但 FN 这次波及更广的是广大小白用户,你不可能让非技术用户都去理解什么是 TCP/IP 直连,什么是 VPN ,什么是代理协议,就跟你也不了解其他很多领域的专业知识一样。那么事实上从普通用户的视角唯一学到的就是重要用途不要使用小厂的免费产品。虽然用户不了解技术细节,但 FNC 是飞牛官方背书的连接方式,出了问题当然只能怪飞牛,再要怪的话只能怪自己为什么图便宜选择飞牛
|
|
28
eber 1 天前
@Hephaistos 用 fn connect 不就暴露到公网了?有安全意识会用官方的 fn connect 吗?反正我从来没用过这种第三方(非自有渠道)的穿透服务。之前宽带没有公网 IP 就自建 frps➕tailscale 组网防失联,有了公网 IP 也只敢把无所谓的服务直接暴露在公网,并且一定是从 web 防火墙(雷池)处统一对外暴露。
|
|
30
sentinelK 1 天前 1
@cat55 你看,这个问题就在于此。
1 、飞牛 OS 、穿透收费产品本身在产品定义上,是有安全机制的,但已失效数月。 2 、他是否有明确告知用户飞牛 OS 的设备不能外网访问,或外网访问的危险性? 3 、飞牛在整个生态中是否牟利?又是否基于利益的原因阻止用户止损? 你这样说话,和劝遭性侵受害者多穿点,命案受害人早点回家有什么区别? |
 |
31
june4 1 天前
@PrinceofInj ssh 的安全水平和这些小公司随便写写的软件能一样吗,哪怕真有人有 ssh 的 0 day 都不会拿这种千万价值的漏洞用在你身上。
一般小公司员工瞎 jb 乱写出来的软件天然要有这个不安全的觉悟,但普通人没这个意识。 |
|
33
eber 1 天前
@icy37785 #24 不就是路径穿越漏洞吗?我用 tailscale 会被影响?我外层包个雷池(随便一个简单的 web 防火墙)会被影响? 受影响的这群人啥防护都没有直接就敢暴露(包括第三方穿透)他不被入侵才出鬼了!另外:市面上第三方穿透服务应该也都是只提供了穿透吧?谁家穿透服务会送防护?
|
 |
36
leang521 1 天前
话说飞牛会不会因此凉凉。FN CONNECT 是收费服务,目前能证明通过 FN CONNECT 被黑。但是没法证明被黑的用户不是通过 FN CONNECT 通道。那么那些交了费,然后被黑的用户联名起诉。是不是就是稳赢。
|
|
38
Hephaistos 1 天前
|
 |
39
cat55 OP 还有人开炮,我帖子聊的就是“暴露公网”一事,涉及到的话题居然说跟我无关,太逆天了
|
|
40
Hephaistos 1 天前
@leang521 中国法律不支持集体诉讼,并且数据问题很难定损,最终他们也赔不了几个钱
|
 |
41
NonResistance 1 天前
飞牛么,爱用多用,自找麻烦罢了
|
 |
42
cloverzrg2 1 天前
因为要给家里人用(相册).
我自己的话, 如果要跟梯子和 tailscale 共用也有点麻烦,ios 的 VPN 同时只能开一个 |
 |
43
minami 1 天前 2
事实就是很多人就是这么干了,厂商提供了面向小白的功能,又不教育用户有风险,又出了系统 bug ,他们是受害者好吧,你充满了自以为是的傲慢,觉得自己懂了点就比别人优越了,可以随便看不起别人,抱着这种心态建议别做任何面向客户的东西
|
 |
44
blessedbin 1 天前
只用飞牛的影音,全是电影电视剧,随便拿。
有一说一,隐私数据放到飞牛上,从一开始还是有点不放心的。 不过飞牛播放器确实体验还不错。 |
 |
45
msg7086 1 天前 12
消费级产品的受众就是消费者而非专业用户。
懂网络安全会搞 VPN 之类加密入口的人,我就问你为什么不弄主机装 Debian 而要去买消费级产品。 该说是很典型的知识的诅咒吗,因为「我懂」,所以用产品的普通用户一定也像我一样懂,既然他们都像我一样懂,为什么他们不自建网络基础安全设施。 |
|
46
msg7086 1 天前 16
花了一分钟看了一眼楼主的回复记录,能明显看到楼主有非常丰富的网络知识理解,能跟坛友关于 NAT 方式吵半天,能对路由线路侃侃而谈。这种远超普通人的知识水平会严重阻碍一个人对普通人水平的认知。我好心劝一句,自己想想在你自己不懂的领域,别的领域的大牛指着你鼻子骂你傻子连这点那点基本道理都不懂的时候你是啥感觉。
|
 |
47
anjing01 1 天前
基本上玩 NAS ,都会找运营商,桥接,说明公网暴露是“刚需”;
加固的话,白名单最好;其次 iptables+ipset+访问日志匹配拉黑; |
 |
48
FrankAdler 1 天前
很多事情都是要为方便让步的,想不明白是因为你没有场景,比如给异地的女友、爸妈、朋友用(分享)?
|
 |
49
stormtrooperx5 1 天前
我就是个云厂商相关产品的开发,自认为还是很精通各种安全配置、网络配置了,当初买 nas 的时候也是老老实实买的成品,坚决不公网暴露任何服务。另外多说一点,本地冗余方案也是老老实实用厂商的,没有搭任何额外服务,自己只额外写了个脚本搞自动同步到云厂商 OSS 冷归档的逻辑
|
 |
50
codehz 1 天前
直接 zero trust 就完事了。。。商业零信任产品这么多,随便弄个过来就是降维打击
|
 |
51
dolee 1 天前
还是牺牲一点便利,套一层 vpn 吧,不要把安全寄托再别人身上,今天是飞牛出问题,明天可能就会是别的
|
 |
52
f360967847 1 天前
主要还是防护做的差了 这里指的是自己 web 的防火墙 越方便越不完全 又不加防护就变成现在这样子了
|
|
53
f360967847 1 天前
至于用 FN CONNECT 的服务去连接 那确实 FN CONNECT 自身没有加防火墙(他本质和反代差不多 是能够做 waf 的防护的) 但是他只仅仅做了穿透工作,即官方也只用了反代功能而没有加 waf 防火墙 和自己用公网反代映射没有 waf 一样
|
 |
54
sardina 1 天前 via iPhone
还在洗?飞牛的论坛 25 年 12 月已经有人报了这个问题了,也有飞牛官方的人回复了,但是一个月了还没修复🤣
|
 |
55
oldlamp 1 天前
如果我花了钱,还遇到这样的情况,这钱我为什么花呢? TrueNAS 等等也不是不能用。
|
 |
57
tril 1 天前 1
暴露在公网上的网站多了去了,做好防护的风险并没有那么高,家庭用户自己暴露到公网的风险在于绝大多数用户没有能力去做安全措施。
官方的透传不一样,用户按月交钱提供资金支持,厂商的安全团队做一份策略就能给所有用户提供防护。哪怕还是出现了 0d ,官方的安全团队在透传上打补丁就能立刻覆盖所有用户,专业的安全团队通过日志确定受灾用户进行针对性通知也比让用户自行排查更方便、省心。相当于拼团凑了个专业团队提供安全服务,理想状态下还是比较安全的。 显然飞牛只认为自己卖的是付费 frp 服务,而且也完全没有能及时响应的安全团队,可能是用户交的钱还不够吧。 |
 |
58
yeh 1 天前
开端口只有一个目的:
给在老家的父母手机相册自动备份,自己从来都是先 vpn 回家 那么剩下的问题就来了:为什么备份端口=管理的 https 端口,别说飞牛,群晖也是一样的。 群晖是 2b ,synology 只改了 drive 的端口,没改相册端口。 飞牛则属于没抄都没抄明白,那个 2b 一样的 199/年 40m 上行的所谓安全通道。 |
 |
59
ttxhxz 1 天前
@eber #28 你要是就自己用随便说。我类比一下,我用群晖,用官方的 ddns 链接,给家里人分享照片备份照片,这也出问题,不是系统的问题?还能怪到用户头上?当然你也可以说飞牛免费。那他付费的穿透服务呢?
|
 |
60
admims 1 天前
@supemaomao 我直接用百度云,简单好用
|
 |
61
Hookery 1 天前
所以到底是啥情况,有没有懂哥总结一下发生了什么?
|
 |
62
pmx1990 1 天前
当前 NAS 上运行一个 docker 里面尽有一个 sshd 只开了 key 认证,外部的时候需要先 ssh 进来 然后代理访问内网;
假设 ssh 密钥丢了,他也只能进来做跳板,内网都有认证;还算安全,对外 ipv6 + port 关闭 ipv4 不容易扫到;之前 ss 担心 ss 有后门; |
|
63
registerrr 1 天前 via Android
@eber 肯定有的,91 网站又要多一批新鲜资源了
|
 |
65
diferent 1 天前
@MiKing233 这和给飞牛洗地有啥关系 , 本身如何是网络小白, 确实不应该把服务放到互联网上啊. 别说是飞牛, 就是群晖谁又能保证是绝对安全的. 就算是服务是安全的, 小白又怎么保证用户名/密码不泄漏 .
|
 |
66
amyw495062 1 天前
怎么还有人觉得 FN Connect 不算暴露公网的,难道只有 IP 直连才算公网吗,FN Connect 不就等于官方配套的公网服务吗,怎么就不算公网了,公网又只有公网 IP 才算公网
|
|
67
amyw495062 1 天前
“公网又只有公网 IP 才算公网” 打错
应该是 公网又不是只有公网 IP 才算公网 |
 |
68
jackOff 1 天前
主要问题是中国不允许端到端加密,否则这个问题压根不是问题
|
 |
69
ucaime 1 天前
@eber 应该是没仔细看这次的事件吧。即使没有映射和开放任何端口到外网,也没有通过自建的穿透到公网服务器,仍然可能会受到影响,这是 FNC 服务的设计导致的,通过遍历扫描几乎可以连接到所有开启了这个服务的机器,样本统计下来,FNC 开启率还是非常非常高的,平均下来也在 80%以上。这个是飞牛系统除硬件收入、企业订阅外的很大的商业收入来源,而且提供了免费慷慨的接入服务。
如果开启这个服务也会导致所有数据全部泄露,那我感觉不太能因为这个行为怪用户~ 本质上是这个漏洞太低级了,低级到近 20 年我作为半个网安圈的人都没怎么遇到过知名系统犯过这个错误 |
 |
70
ihciah 1 天前 via iPhone
即便是 nginx+basicauth ,配置对的话放着不管几年内应该不会有问题(出问题了咱数据也不值这 0day 的钱)。
我现在两台 all-in-boom 配置是 pve/esxi + debian/arch + ng/caddy(in docker) + 一堆自己打包的其他 docker 。都是公网直接暴露端口(ssh+https)。 |
 |
71
wuruxu 1 天前 via Android
很多用户都是菜鸡 能用起来已经是大多数人的天花板
|
 |
73
635925926 1 天前
这也能洗?
|
 |
74
opengps 1 天前
凡事都有个过程,普通人玩公网 nas ,首先最简单的办法当然是暴露公网之后,感受内网时候的玩法,被攻击过之后才知道公网环境多恶劣,才开始研究其他方案比如白名单,组 vpn 这种
|
 |
75
gimp 1 天前
你认为普通用户什么都应该懂,这个前提假设走偏了,你换个思路想想,普通用户能看懂吗
> 公网的正确用法应该是 vpn 、frp xtcp 、stcp 等一切加密作为入口,哪怕用 ss 来作为入口都行,不可能直接把服务的公网暴露出去啊,就算嫌麻烦也应该用白名单模式吧 |
 |
76
yangzzzzzz 1 天前
所以我用的极空间 不用自己折腾了,出问题找厂家,其次个人数据不联网,联网的 nas 只放媒体资源
|
 |
77
liuidetmks 1 天前
|
 |
78
Dream4U 1 天前
国产系统配上国产粉,赢麻了
|
 |
79
awinds 1 天前
方便,做好验证就好了,不要随便不可信访问
|
 |
81
obeyatonce 1 天前 via Android
飞牛这次根本原因是系统有重大漏洞导致可以绕过登录直接访问系统内文件,跟有没有暴露公网端口没关系,群晖不也提供了公网访问,系统安全就不容易被攻破
|
 |
82
busier 1 天前 via Android
如果是黑客是使用密码进来的 例如弱密码 社工学 那么可以说是用户的责任
如果黑客是利用自身系统漏洞进来的 那么就是你产品缺陷 就是你产品的责任 不要用什么暴露与不暴露公网安全性来找借口 |
 |
83
colinhd8 1 天前
同意 LZ 。不过我没搞明白,本来就是在讨论暴露公网的事,怎么就变成为飞牛洗地了?这和飞牛有啥关系?之前就在公众号看到不少文章教人把服务暴露出去,作各种映射,然后又在前面加 WAF 啥的。我在想这种又不对公众开放的,为何不直接 VPN 回去,然后跟在局域网一样想访问哪个就访问哪个。
PS:我目前为止不用飞牛,上述内容也不是针对飞牛而言,我也没觉得这次飞牛的态度是对的,所以不要给我扣上洗地的帽子。 |
 |
84
SakuraYuki 1 天前
@w568w surge ponte 或者 ss 或者 wg 都可以解决第二点
|
|
85
eber 1 天前
我突然又想到之前一堆小白跟风找运营商要公网 IP 然后设置光猫桥接的(导致现在很多地区的运营商都不给公网 IP 了),跟风瞎几把设置 DMZ 的。别人搞个啥自己不搞到就感觉亏了,也不管自己能不能用上,也不管是否安全。这一切这是他们应得的🤡!!!就应该给这些小白打成筛子,让他们产生敬畏!!! 我所有的回复都不是为了给飞牛洗白,只讨论为什么一大堆人无脑暴露到公网的问题。
|
 |
86
Linken404 1 天前
@cloverzrg2 用 tailscale 的 exit node ,在节点上配一个透明代理就好了,可以近乎代替 vpn
|
|
87
Linken404 1 天前
对小白普通用户来说,厂商提供的“专用隧道”就是“非公网的”安全的。
同理类似的还有比如向日葵远程开机远程值守,甚至米家的远控、各大监控厂商的家用监控,是不是在小白眼里都与 fn connect 的表现形式一样? 对于普通用户来说本质上没有绝对安全,只有他们相信 xx 安全,但具体 xx 是不是自己有问题,那就是 xx 自己的问题了。 所以锅还是在飞牛身上,甩也没用,洗不干净的。 |
 |
88
rev1si0n 1 天前
暴露到公网方便,不过我主要都是通过 vpn 连因为过家里能直接翻墙不用我装啥其他东西,也能直接域名访问内网服务。公网暴露的端口只有 ssh 和一个 openvpn 并且严格经过公网扫描确认,路由器 ssh 只开秘钥登录并且 ban 的很激进,密码用户名一次不对直接永久拉黑,但即使这样我也不能确保我就是安全的,因为不排除哪天这个路由器的 ssh 又爆出漏洞,甚至有很多人用默认路由器密码把管理界面放到公网的,这种一大堆,总有人觉得我的 IP 没人知道,端口也没人知道,实际每天都被扫烂了。没用过 fn ,不过处理方式有点过分了,即使是用户自己暴露的也不能说避而不见。
|
|
89
Linken404 1 天前
@Linken404 #87 op 说的那些话在技术角度上是有道理,但显然犯了傲慢的问题,因为普通用户不懂那些技术,厂商说“我安全”,用户信了,然后寄了。这种事情不能怪用户。
|
 |
90
bluehtt 1 天前
明知是为了方便,你却还在问。这叫“揣着明白装糊涂”,我觉得是无病呻吟
|
 |
91
jpyl0423 1 天前 1
照这么说,网站都别开了,反正账号和密码也没用
|
 |
92
wangtian2020 1 天前
感觉就这安全性,还不自己写个 server 直接 url 上根据参数 sha256 直接取文件安全,遇到找不到的 sha256 直接不回复
|
 |
93
js9528 1 天前 via iPhone
出来问题从受害者身上找原因?
|
 |
94
squarefong17 1 天前
@sentinelK 性侵案件中错在侵犯者,与受侵犯者自己降低被侵犯风险不矛盾。入室抢劫/盗窃案,是的,错在行窃者没毛病,但我就问一句:你家房门上锁不上锁,是不是绝大多数城镇居民的房门至少是金属门,而且普通人不易从外侧打开。
让小公司帮你把私人数据暴露在公网,事实证明这就是很大的风险。用户应当引以为戒,换掉木门,升级为正常的防盗门。要么选好歹有正经安全团队的大公司的公网服务,普通技术人员想黑会很困难,普通用户相对安全,要选小公司就至少原理上是异地组网的模式。 |
 |
96
user100saysth 23 小时 56 分钟前
@w568w 我为反方说一点:
|
|
97
user100saysth 23 小时 56 分钟前
@w568w 我为反方说一点:哪里那么多安全隐患哦,
|
|
98
Hephaistos 23 小时 53 分钟前
额,还是那句话,当你的用户大部分是普通消费者的时候,你就不能指望用户自己做好安全
|
 |
99
MindMindMax 23 小时 53 分钟前
把“安全责任”完全转嫁给用户和技术极客,却让大多数人在“便利 vs 安全”的二选一。这种产品注定失败。飞牛没犯错。错的是那个让你觉得“不开远程访问=功能残废”的产品设计
|
 |
100
dushixiang 23 小时 49 分钟前 1
果然很典型哈哈,看我在另外一个帖子的回复
https://sunp.eu.org/t/1189822?p=1#r_17277649 ---- 如果暴露在公网就代表不安全,我建议关闭互联网,毕竟公网上有无数的网站。 |
Select Language