上面代码有问题，要改成这样才能支持 websocket 反代：

addEventListener(
"fetch", event => {
const url = new URL(event.request.url);
url.protocol = "https";
url.hostname = "ipv6.example.com";
url.port = '8443';
const request = new Request(url, event.request);
event.respondWith(fetch(request));
}
)

@goodryb 是的改端口没啥用，关键是要缩小暴露范围，frp + stcp 或 vpn 都是这个目的。

这样还有个好处，家宽没公网 ipv4 又想映射服务出去就只能考虑 ipv6 + 非标端口 443 ，比如 8443 、2053 、2083 ，访问时就得带上端口号，worker 反代正好隐藏端口号，还能提升安全性。

还有一种方案，用 cloudflare worker 反代

1 、创建一个 worker ，把域名改成自己的

https://i.imgur.com/3FlXPYV.png



2 、添加一条路由

https://i.imgur.com/NW3rNSj.png


3 、设置 subdomain.example.com 域名代理

https://imgur.com/a/WisnzQP


访问 https://subdomain.example.com 就会经过 worker 处理，worker 反代去 https://ipv6.example.com:8443 拉取数据，ipv6.example.com 就是只有 ipv6 网络的服务。

我中过勒索病毒，我有发言权[doge]

1 、首先 rdp 需要帐号密码一起登录，帐号别用 Administrator ，用这个相当于破解成功了一半，用自定义名称加大难度。

2 、抵御暴力破解，linux 下有个工具叫 fail2ban 可以很方便防御暴力破解，windows 也有类似的： https://github.com/DigitalRuby/IPBan ，但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽，如果是内网穿透暴露到公网则无效，所以 IPBan 只能用在公网 ip 端口转发场景下（既然都端口转发了顺便把入站端口改成高位端口，别用默认 3389 ），而内网穿透可以做到更安全，比如 frp 的 tcp 模式是穿透到互联网完全暴露，stcp 模式只穿透到公网上的某个局域网，安全很多很多。

比较这 3 种方案，frp + tcp 安全性最差，公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解，frp + stcp 不会，在需要访问的本机启动 visitor 客户端，则只有自己能访问远程 rdp ，安全性很接近 vpn ，不管本机是 linux 还是 windows 都可以设置 visitor 开机自启，用起来很方便，linux 用 docker ，windows 用 winsw 写入服务。

3 、验证效果，打开 windows 事件查看器，搜索 4625 可以看到被暴力破解次数，过去 7 天 32897 次：

https://i.imgur.com/xpq42vR.png


4 、最安全还是 vpn ，暴露的攻击面小很多，比如 wireguard 只暴露一个 udp 端口，即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ，不过传输带宽依赖于 vps ，实测 1M 也可以 rdp 。

我发现也有弊端，vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈，这是我所不希望的。



总结起来，frp + stcp 和 vpn 这 2 种方案不会被暴力破解，4625 失败登录次数会是 0 。

@8520ccc

1800 ？你意思是 16 + 512 还要￥ 700 ？

4c4t 跟 8c16t 确实不是同价位产品，n100 可能满足不了楼主重度需求，用低于 n305 的价钱买性能超过 n305 不是爽歪歪。

@ZXiangQAQ

快 2024 年，历史偏见可以重新考虑，没有 amd intel 还在挤牙膏，我用 amd 4700ge 组的 AIO 已经稳定 2 年多，至于功耗，一定要实测，板 u 待机功耗 20w （还是 tdp 35w 的 u ），装上 8 块硬盘整机也才 60 - 80w 。

跑那么多服务 n100 的 4 核 4 线程会很吃力，同样的小盒子为什么不选 amd ！

比如拼夕夕￥ 1099 的极摩客 M5

cpu：amd 5700u 8 核 16 线程，tdp 15w
网口：双 2.5G

性能上比 n305 好很多，又便宜很多

https://technical.city/en/cpu/Ryzen-7-5700U-vs-Core-i3-N305


我一直觉得 n100 - n305 性价比很低，甚至不如￥ 927 的 amd 5900HX ES 版单网口小主机

这类小主机扩展性都是瓶颈，如果非要用来跑 nas 可以 type c 外接硬盘盒，宿主机 pve ，16 线程随便分给 vm 。

@x3927

pixel 1 有原画质无限存储，pixel 3 有压缩后高质量无限存储，pixel 7 啥都没了。

syncthing 同步文件。

你的手机拍照产生文件，自动同步给 docker 搭建的服务端，服务端自动同步给父母手机，他们相册 app 引用文件夹就行了，允许常驻运行同步无感，离线访问速度也快。

客户端可以设置同步策略，比如双向同步 或 只上传、只下载，只在 wifi 网络同步，做到精细化控制。

我昨天刚搭建一套，效果很好，公网 ip 搭配 ddns ，内外网统一使用域名，内网速度非常快，pixel7 产生的文件同步给服务端，服务端同步给备用机 pixel3 ，pixel3 上传给 google photos 白嫖无限存储，最终同步给主力机 pixel7 的 photos 。


https://i.imgur.com/B8hbSyD.png

@xxlsJourney 可以用，用不了是什么情况，你可以联系售后客服。

@emonc google 把拼夕夕下架后，我就再也没安装过 app ，直接用微信小程序，基本上一样，保活时间短点。