fn connect 漏洞说明

logan

强烈建议fnconnect 在转发nas服务时, 要求登录后再转发, 要不内网端口全暴露了. 很不安全.

飞牛产品同学

感谢反馈，这个问题已知，后续会有版本优化

十年流水东

有点好奇为什么可以访问到呢?因为这种情况下走了 NAS 的公网直连吗?如果是的话，是不是在 NAS 防火墙进行拦截即可？

另外有个疑问，如果走的是中继模式，那 https://xxx.5ddd.com 应该只对应了 NAS 的 5666 端口，其他端口应该没有被映射出来吧？

logan

十年流水东 发表于 2025-6-7 20:56
有点好奇为什么可以访问到呢?因为这种情况下走了 NAS 的公网直连吗?如果是的话，是不是在 NAS 防火墙进行拦 ...

那也应该是登录飞牛以后才映射其它端口, 我tmm容器的端口是只对局域网开放的.

十年流水东

容器端口只对局域网开放然后通过 FN Connect 的域名+服务绑定的本地端口就可以访问了？那只能是FN Connect 自动映射了访问的端口到 NAS 才可以吧，但我试了，只能访问到 NAS 的 web 后台，就是 5666 这个端口，其他端口访问不到

logan

十年流水东 发表于 2025-6-8 10:20
容器端口只对局域网开放然后通过 FN Connect 的域名+服务绑定的本地端口就可以访问了？那只能是FN Connect  ...

我又看了一下, 还是会转发, 特地抓包测试了一下, 有一个特点, 可能和你不能复现有关.
这个端口转发用的 "lo" 口的 "::1" 转发出来的服务, 也就是说当你关闭IPv6可能他就无法转发出相应应用了.
或者说, 你是开启IPv6但docker的服务只保留了IPv4端口也会无法使用 FN Connect 转发