最近在家里(动态公网)搭建了一个 Surge Ponte UDP 中继环境,让外网可以访问内网服务。我的 Ponte 是通过 家里Debian 上的 Snell 代理进行 UDP 中继的,这样客户端即使在公网也能通过动态 UDP 端口访问内网服务。并且可以添加多个 Ponte 服务端,解决内网访问问题。
我观察到 Ponte 的 UDP 端口是动态变化的,所以我在 iKuai 上做了如下设置:
•DMZ / 端口映射只开放 UDP
•排除了 TCP 流量
•排除了低段端口( 1-50000 ),只允许高端 UDP 端口
这样做的目的是保证 Surge + Ponte 的 UDP 中继功能,同时尽量降低整机暴露风险。
有几个问题想请教 @SurgeTeam 和大家:
1.这种做法是否安全? UDP 高端端口开放会不会被滥用或成为 DDoS 攻击目标?
2.仅排除 TCP 和低段端口,是否还存在被扫描或攻击的风险?
3.有没有更安全的方式既能支持动态 UDP 端口,又能降低暴露面?
4.Debian 端防火墙配置上,有没有推荐策略?我目前考虑只允许 UDP 流量到 Ponte 服务端口范围,TCP 只允许内网 SSH 管理。
5.surge 的 Ponte 端口随机是如何确定的(例如代理中继只开放了高位端口)?
希望有经验的朋友分享实战经验或者防护建议,感谢🙏
