建议给所有需要公网暴露的 web 服务套一层 authelia

飞牛的漏洞应该让很多人认识到了公网暴露的安全性问题，挺多人推荐通过 VPN 的方式来保护想公网暴露的服务，VPN 的方式安全性肯定很高，但是很多时候也相对比较麻烦，需要安装 VPN 终端，有时还会和科学上网没法共用。

很多人玩 NAS 就是为了部署各种 web 服务，像 openclaw, matrix, memos 之类的，对外暴露本身就是为了方便能随时访问，如果每次访问都还要切 VPN 着实有点麻烦了。

这里推荐另外一种折中一些的方案，通过 frp 穿透把内网服务映射到服务端,注意自建 CA, 启用 token + TLS 双重认证，映射的端口在服务器上禁用掉，然后通过 NPM 来管理二级域名反向代理内网 ip:端口，通过二级域名访问这个服务，开启 https, 同时在 NPM 的 advance 里配置好 authelia 认证，这样直接访问二级域名会跳转到认证页面，认证后可以访问，和正常直接访问没什么区别。通过这种方式可以将所有对外暴露的服务统一管理，很多小众的 web 服务安全性并没有什么保证，但是经过 authelia 叠加一层之后可以减小很多的安全攻击面。

authelia 的服务比较单一，也得到过国际安全标准认证，相对于 github 上各种大小项目，安全性肯定高很多 level.

authelia 叠加一层之后可以减小很多的安全攻击面。 ——- 老哥，这个有应用配置的实战方案么，我现在的群晖就是 frp—-NPM—-公网——家里 frpc—-群晖

我自己体验下来 VPN 还是很舒服，只要在运行 SS 的机器上（可以是 NAS 、路由、台式）上面也配置好梯子就好，然后手机只需要连回家的梯子，一样可以上外网

@deepbytes authelia 的配置相对麻烦一些，我是挺久之前配置好就一直这么用着，当时 AI 还没有这个强大，折腾了挺久，有些配置命令之类的细节已经记不清了，但是可以把配置发出来给你参考下，让 AI 来指导一下应该很快就能配好，一次配置永久受益，配置好之后只要要在每次增加 NPM 增加域名时在 Advanced 选项里加几行即可。 https://gist.github.com/Hconk/428678f0c5d3fbbe8fa82ecad184aaf5 除了这里面几个还有 authelia/configuration.yml 里根据自己需要填写相应的配置。

很多人觉得电信不给公网 ip 或者不允许开放公网是限制了他自由，殊不知，这才是保护了 90%的普通人。我看到群里一堆人在热火朝天的讨论飞牛怎么开 ipv6,怎么和 cf 映射，各种奇奇怪怪的姿势的时候。真的觉得无知无畏啊。

谁说和科学上网没法共用的？我用 openvpn 回家网络环境和家里网络一样直接翻墙除了 openvpn 什么都不用装，只要确保 clash 和 openvpn 在一台机器上就好。

目前是 tailscale+自建国内的 derp 中转，远程连到家里的 nas 和开发机器，体验感还不错 打洞成功 90ms 中转 60ms

@Meursau1T 用 VPN 肯定是没什么毛病，安全性也是得到广泛验证的。我说的这种方式也是在保证一定安全的同时多一种选择，比如想把自己家里的服务共享给其他人的时候，又不想让别人装个 VPN 连到自己家里，总有些场景能用上这种方案。 总的来说安全就是一种 trade off ，找到合适的就行。

@rev1si0n 这句说的是不太对，算是口误了，当然只要把代理装家里就行了。不过不知道你们公司是不是允许装 openvpn 客户端，装完连到家里之后内网还能不能正常用。跟直接在本地电脑装 clash 配置内网域名过滤规则的方式相比起来，我觉得在公司里用 openvpn 还挺麻烦的。

@9136347 跪久了就觉得站着走路头容易撞门框，还是跪着安全。跪着走路才是保护了 90%的普通人 网上被拐卖的妇女那么多，裹小脚出不了门就不会被拐走，裹小脚才是保护了 90%的普通人 性侵案频发，割蛋能防止性犯罪，还能获得长寿，当太监才是保护了 90%普通人