第一层当然是换不常用的端口，规避直接扫描，但是这主要是方法扫常用端口的。

第二层你 https 流量的话，有流量就会引来探测，然后就会来扫端口，一测是个 https 服务，而且是公开的。严格一点的地方就 GG 了。因此第二步就是给 https 增加鉴权，部分地方会忽略这种 401 unAuth 的服务，只要不是公开 http 服务交就行。注意： http 鉴权和服务本身的登录是不一样的，比如能打开群晖首页未登录和 https 鉴权不过返回 401,不一定都认定为开放服务。

第三层是 IP 白名单，要求你的防火墙或者路由器支持 API 或者 ssh/telnet 等交互方式，这样便于实现脚本自动修改白名单。我的思路是先通过 ip 接口（例如 https://myip.ipip.net, https://ddns.oray.com/checkip, https://ip.3322.net ，也可以自己在云服务器跑一个获取 IP 的 docker： https://github.com/yshtcn/GetIP_Service ），然后用脚本把 IP 加入白名单（我的用例是自动注册 IP 到阿里云安全组： https://github.com/yshtcn/alicloud-ip-updater ），并定期删除和清理。只要能交互，用 gpt 类实现脚本可以减轻不少工作量。

第四层思路才是 VPN 、代理和 SD-WAN 组网，一般用在固定的两点或多点之间。比如办公室和家里。

9 天前

回复了 PatrickLe 创建的主题 › 宽带症候群 › 局域网内将设备网关指向旁路由，和设置里添加旁路由的 socks5 有何区别？

这里面有 2 个问题:
1.设备旁路网关和 socks5 有什么区别。
2.会不会漏掉流量。

第一个问题：区别
旁路网关工作是基于 tcp/ip 的，tcp/ip 下的所有协议都会基于网关设定去执行。
socks5 是一种特定的代理协议，只有根据协议转发的流量才能被代理。

这区别就像你直接控制物流货车下一站，还是说只能选择快递公司运送包裹。虽然路径都可以自己指定，也可以通过绕路实现特定的通行路径，使货物按特定路径顺利送达。但本质还是差很远的。

第二个问题：会不会漏流量
旁路由被指定为网关的意思，其实不严谨的等同于所有发给 0.0.0.0/0 的地址都会发往本机制定的网关。也就是本地不知道路由方向的网络地址，都会交给旁路由。换句话说，如果本地知道的，就不会交给旁路由网关，比如在子网掩码允许直接通信的范围内，或者本机配置了的路由信息。

而 socks5 则只会接受那些能够支持 socks5 代理的数据包。如果系统指定了，但是程序遵守。或者程序愿意支持，但是代理本身不支持，都不会通过代理。

旁路网关就像你们村上第二个货运火车站/汽车站/交通枢纽。而 socks5 就像快递公司一样。

15 天前

回复了 villivateur 创建的主题 › NAS › 昨天我的 All in Boom 在稳定运行 4 年后终于 Boom 了。

我是不敢 all in boom 的，我采取有组织的拆分。然后给每个上面（包括主要作为路由的 all in one ）装一个远程插座，同时备了一个 4G 路由专门给控制网络的部份的远程插座使用。

27 天前

回复了 yougo 创建的主题 › Apple › Facetime 音频可以设置白名单吗

@yougo 刚刚进 FaceTime 那里看了一眼，还真是一样的表述，苹果是真的懒啊

27 天前

回复了 yougo 创建的主题 › Apple › Facetime 音频可以设置白名单吗

@yougo 特别说明电话的静音未知来电虽然字面是说转去语音信箱，但实际操作就是挂断。这是因为开通了运营商的语音信箱，挂断就会触发呼叫转移，转移到语音信箱接听。

FaceTime 版的静音未知来电则不存在，表述也是不同的。

» yshtcn 创建的更多回复