【硬核】公网访问？内网穿透！零经验上手！

我很硬很硬:
我用江苏苏州电信家用1000M光纤，之前还不知道啥内网ip 公网ip，后来家里装了nas 才知道用的是内网ip。直接10000号打过去报修，已经是晚上8点半了。接线的是个小姐姐，我说家拨号要换公网动态ip ，她说好的，现在就给你换。对了下机主身份证，20秒就改好了。绑了个免费域名，nas玩的飞起

【回复】重庆电信要花钱才给弄公网，坑死了
【回复】回复 @吴终身 :华硕的路由器，有免费的ddns
叔有偏头痛:
没需求，技术不够只会抄作业的，别搞穿透，公网危险[嗑瓜子]大佬们都在公网斗法，0day入侵捞肉鸡太普遍了

【回复】回复 @不求人人 :穿透唯一对他们的好处就是游戏互联（浩方那种平台类似）。。问题是信任网络跟安全是大问题。 建站是少数，而且很少自家建站。最多做一些运行实验，FTP现在有家庭云方案吖。
【回复】回复 @LOVEYouCola :ddos针对对外服务。。有网站一类才是。一般家庭用户穿透出去。那小路由器玩个墩哦。家庭用户解决ddos直接重启就是了。问题在于整个家庭网络暴露出去。只要有漏洞。大佬就在你家里安家了。抓包分析到盗号撞库，虽然大家的银行卡里都没什么钱。但是要是家里有个摄像头。。。那就不好玩了。
【回复】[滑稽][滑稽]看到端口天天被扫描都习惯了
Louis-Felix:
大伙一定要开防火墙，或者把3389端口改了，网络被破，勒索病毒把文件全锁了[无语]

【回复】经常看到很多人在生产环境遇到问题首先关防火墙，真的是完美的把学校所学应用到实践[灵魂出窍]
【回复】回复 @瀚风木槿 :那不能够，主要还是没权限。 倒是弱密码危害更广一点，头天设置密码111111，第二天就会发现服务器资源占用忽高忽低了[嗑瓜子]
【回复】防火墙要默认打开，自己用什么端口再映射，不用用常见端口22/3389之类的，自己改端口，然后增强服务器安全性，改强一点的密码
长夜语火:
我不看片，你不要乱说，我在学习[doge]

【回复】众所周知，B站可是学习APP
【回复】学外语是吧？学外语好啊，我也喜欢学外语。[OK]
【回复】回复 @科技宅小明 :b站刚给我推了西工大的核相关的教学视频。[微笑]
韦先森574:
目前用IPv6的阻碍最大的是光猫与路由器，三大运营商的网络已经普及了IPv6，阻碍都是光猫与路由器的支持，流量已经完全支持IPv6。乡村因为起步晚，使用的都是新一代支持IPv6的路由器或光猫一体机，城里还在用旧的，这就导致了乡村的普及率比城市高。更离谱的是印度的普及率世界第一，高达70%！ 下面是路由器与光猫路由一体机对IPv6的防火墙的情况： 水星路由器-无防火墙，默认端口全开 tplink路由器-同上 中兴路由器-有防火墙，默认高，调至低即可打开全部端口 小米路由器-有防火墙，默认端口全堵，部分设备在网页的设置上无法关闭，可通过ssh连接路由器输入命令关闭。 斐讯路由器-恩山论坛心中最酷的公司，自己折腾 …… 天邑光猫（电信送的）-有防火墙，默认封堵所有端口，防火墙无法关闭 友华光猫（电信送的）-有防火墙，默认封堵所有端口，防火墙无法关闭 以上防火墙无法关闭的改桥接使用路由器拨号解决问题。 华为光猫（移动送的）-我所用过的没有遇到封堵所有端口现象 中兴光猫（移动送的）-不会封堵所有端口 ……

【回复】基本上运营商也不想用ipv6，可以省下很多费用，公网还能单卖
【回复】其实也可以了解一下ip6tables这个命令，可以指定开放对应端口，不用完全关闭防火墙，安全性会高一点
【回复】回复 @洎扰の庸人i :移动部署得最快最好，联通最慢但也最好，电信喜欢在光猫一体机上封端口
AssassinHjx:
最扯淡的问题是现在ipv6了运营商仍然不给公网的ipv6或者动态的ipv6，最近连动态ipv6都不给了

【回复】我这电信的。要么给 动态公网IPv4+无IPv6，要么给 内网IPv4+动态公网IPv6，权衡之后我还是选 动态公网IPv4+无IPv6，只用ddns就行
【回复】回复 @TodayNow-xyz :我之前本来有动态v4公网的，最近也给取消了。打电话问，说是无论v4v6只要是要公网都得开商用宽带才行
【回复】回复 @AssassinHjx :我家联通ipv4 ipv6双公网[滑稽]
是你的MR-right:
IP是三层的封装，其实数据在二层还会加帧头部，使用的是MAC地址，这个是全网唯一的，48位16进制。然后再转换成物理层，变成一串的010101 ，UP这里有个小概念可能没有说，就是转发过程中,IP地址是从网关以上的，网关一下就是使用MAC地址，采用广播、组播、单播的方式发送，而不是直接使用IP地址从服务器到客户端。

【回复】回复 @佐仓玲奈 :MAC地址会有冲突的特例，我的前提是物理网卡烧录的时候厂商遵循标准，而且不包括虚拟MAC，理论上说只要同一广播域内不冲突就没多大影响。
【回复】回复 @吴终身 :不是，是用的IP地址，NAT协议有很多种，UP说的那种是pat,也叫napt，是通过IP地址+端口号作为一组条件来实现的私网和公网IP的映射关系
【回复】另外补充下转发，设备会根据表项指导数据的转发，二层是MAC地址表，arp表，三层是路由表
豆芽汁:
讲的很好，终于明白这内网穿透的原理了，和我原先设想想的差不多，都是需要个外网的服务商来提供虚拟服务。一直让我犹豫要不要搭建这种内网穿透服务的原因，还是网速和安全的问题，服务商免费提供的虚拟局域网，毕竟不是真实的局域网，网速肯定不会很快，就像百度网盘的网速，能用，但不能满足用户使用，不然服务商肯定也是顶不住的，早晚得关门，毕竟人家也不是做慈善的。

【回复】回复 @名字什么的咳咳咳 :那实际上就是转发式的，p2p打隧道是很老火的，不同的net的转发映射规则的各种操作太多，打隧道看环境随缘经常出现打不通的情况，这种情况无奈只能用转发，不然p2p打通，外网服务器除了维护地址表在失联的时候重新打通一下基本上没事干了
【回复】其实就是打个隧道到公网服务器吧，和(建立国际通讯信道)正好反过来
【回复】回复 @蓝白方块 :打错了是公网，说外网怪怪的
科技宅小明:
【大】BV1Bh411s765 【吉】BV1k64y197T1 【大】BV14f4y1Y7mL 【利】BV1mQ4y1q7S1

【回复】宝藏up[打call]顺便推荐一个我写的DDNS小工具，低成本实现满带宽公网访问，没有装软路由的小伙伴可以看看[笑哭] https://www.cnblogs.com/yunmuq/p/14119408.html
【回复】连内网穿透也不行的朋友可以选择买几百万米网线单独对要收入服内的各个路由器连接
【回复】回复 @校园农瑟夫NEO :啊这🤔
艾露恩的呢喃:
就我所知道的，阿里云的备案机制有变动。 没有备案的话，不限端口，直接掐HTTP协议，HTTPS估计也不太能跑得了。 建博客，还不如直接阿里弄个最便宜的服务器，之后走备案流程。 如果想要安全，完全可以数据库放本地，SSH隧道进去，博客连localhost:隧道端口。 本地windows印象中现在也有OpenSSH服务端能装（不确定是Server版还是终端版）；或者可以更安全，上虚拟机，即使被端也只是个类似蜜罐的东东，当然不能忘了定期备份。

【回复】如果是 hexo 这种静态博客，服务器都可以不用，直接本地编译渲染然后部署到阿里云的 oss，再进一步还可以通过 GitHub action 编译渲染，完完全全当云博客。oss 也可以上自己的域名用，但还是得备案
【回复】回复 @我怎么还在背abandon啊 :对，hexo完全可以放github上，然后用它的渲染服务访问
【回复】全端口审计很早就有风声了 也是将来的大趋势[狗子]
夜空靈修:
网络工程专业表示这视频直接计算机网络复习了属于是

【回复】学网络的太熟悉了[doge][doge]
【回复】确实，唤起了我大一的痛苦回忆[藏狐]
【回复】学思科的过来复习一下[doge]
老吴爱说话:
想要安全，就要使用zerotier，使用向日葵之类的服务器是很危险的，除非你在收发端都进行加密，否则数据流随时经过这些厂商的服务器，厂商想要截留存储是既不需要什么技术含量，也不会被你察觉，更无迹可寻。 不过有的人会说了，我就看点小片，值钱的东西一点没有。。。大哥，你还敢看小片，不怕喝7天的东方树叶，然后直接给你开除吗？

【回复】回复 @老吴爱说话 :？？？别整这些阴谋论，向日葵母公司上海贝锐信息20和21年加起来不过1亿美元，往多了算7亿人名币，这点钱购买几个数据中心？全流量能存几天？
【回复】向日葵才多大的体量，他们的机房怕是一天的全流量都存不下来
【回复】回复 @老吴爱说话 :哪的补贴，补贴多少，你指出来，没东西别整天阴谋论
现代古人:
不会的人听不懂，会的人这就是基础，这个视频对于普通人还是有一定理解门槛的

【回复】有需求才会自己找资料才能听得懂，没需求看个乐就好了
【回复】我是普通人 确实有点看不懂
【回复】回复 @灬旧城空巷 :对啊，路由器上面会生成一个域名。然后还是用不了，需要光猫改成桥接模式
咸鱼醬:
3389和22端口弱口令，6379公网无认证受害者提醒：幵放公网访问的设备一定一定一定一定要做好安全措施和访问限制[大哭] 年少无知的我家里服务器被勒索病毒，木马，挖矿全给淦了个遍

【回复】回复 @B站边缘人之一 :不开放3389端口，改用别的端口号走远程桌面。使用尽可能高强度的密码和登录策略。
【回复】回复 @cA右手狙皇 :服务器不是搞机佬家中常备的东西么[doge]
【回复】回复 @cA右手狙皇 :服务器没多少钱 一两百也能搓一台
风沙鸽:
能把目前的家用网络情况说的这么清楚真的很厉害！ 不是说这些知识有多高深，事实上只要是个玩网络的都懂这些，能把这些东西分门别类，由浅入深循序渐进的讲出来，用通俗易懂的动画带领大家去了解，这真是需要功力的！ 只能说大佬不愧是大佬，专业性是要比我们这种野路子强[笑哭]

【回复】回复 @科技宅小明 :关注，这就关注[OK]
【回复】回复 @风沙鸽 :那还不关注一下 (〜￣△￣)〜
偷吸嘻嘻:
Overlay的有ZeroTier, Tailscale, Nebula, Netmaker。后两个需要自己搭。 有时候，瞎折腾穿透不如换个好点儿的运营商来的省事儿。 ZeroTier的安全性：最重要的是不要设成公开的网络（也就是 public access）。它的默认配置足够安全了，通信也是加密的。内网服务（例如 NAS）在开放端口时仅限ZeroTier网段访问即可。 ZeroTier的缺点：在稍微复杂一点儿的网络拓扑下可能会有各种连接小问题，需要改配置。除此之外，没毛病。

【回复】zerotier 不用太复杂的网络拓扑， 联通到电信就直接gg了 哈哈哈 我前几天刚试过，我4个房子 3电信 1联通 联通到电信直接gg ping的时候 延迟45ms 不过随机time out 不出现time out的时候就45左右 反正我是没法用这个东西，电信对电信稍微好一些 这东西我觉得太依赖网络质量了，
【回复】回复 @暝月风华 :看官方文档。自带端到端加密 ，还可以“SSL or SSH over ZeroTier”。
【回复】zero tier 实际上虽然是用户与用户之间传输，有点像vpn，但是数据还是要经过软件运营商，一样不安全吧。 依托国内服务器二次转发，原理估计也一样
挨打的金蝉:
[藏狐][藏狐]光猫的密码是必须字母加数字加特殊字符，改过一次，然后忘了[囧][囧]，还不能重置，一重置就需要重新注册，注册要找工作人员[藏狐][藏狐]

【回复】常备密码本或者隐晦的密码提示[OK] 手写的 或者挂在网盘会很方便 比如提示例如生日礼物➕最爱的足球明星之类
【回复】loid（逻辑ID）记住了，基本可以自己来。
【回复】回复 @奶糖小松鼠 :逻辑id应该就像是你的宽带账号、地址在运营商认证服务器里的用户/设备编码吧。你的猫需要这个编码通过认证，运营商服务器才会下发设置。