首先,家庭网络必需是公网 IP,通过 DDNS 动态域名解析,家庭网络内部搭建的服务就非常方便的暴露在公网,提供非常方便的在公网访问。
然后,风险就来了
最后,零信任架构
零信任架构
零信任架构授权流程:家庭网关 OpenWrt 默认拒绝一切 → 用户身份验证(阿里云 WordPress)→ 自助授权 → 授权完成(OpenWrt nftables timeout 24h) → 用户即可访问家庭网络内部服务
架构安全分析
| 暴露面 | 状态 | 风险 |
|---|---|---|
| SSH 端口(高位) | 仅允许阿里云 WordPress 访问 | 极低 |
| 端口转发端口 | 默认拒绝所有,只对白名单 IP 开放 | 无 |
| nftables 白名单 | 自助添加,24小时自动过期 | 无 |
| WordPress 授权页面 | 验证码 + 频率限制 + IP 限制 | 低 |
攻击面总结
- 扫描 SSH 端口:只有阿里云 WordPress IP 能通信
- 扫描转发端口:端口对非白名单 IP 完全关闭,扫描不到
- 爆破 WordPress:除非 WordPress 漏洞,即使爆破成功也只能触发授权(不能访问服务)
- 窃取 SSH 密钥:即使拿到密钥,也只能从 WordPress 服务器连接,且只能执行 nft 白名单命令
用户自助授权流程
用户点击自助获取授权
↓
WordPress 生成随机端口 → SSH 调用 OpenWrt 脚本
↓
OpenWrt 开放临时端口 + trace 标记
↓
前端重定向到临时端口(触发一次连接)
↓
nft monitor trace 捕获源 IP → 加入 allow-ip-list
↓
返回 SUCCESS:IP → WordPress 显示成功
↓
用户即可正常访问内部服务(24 小时内有效)
适用场景
- ✅ 电信/联通/移动/广电,全运营商兼容
- ✅ 手机 4G/5G 流量(CGNAT 最严重的场景)
- ✅ 用户无需安装任何客户端
- ✅ 管理员无需手动加 IP 白名单
- ✅ 安全:端口用完即焚,不留后门
架构具体实现代码细节
架构具体实现代码细节 ——– 有空再进一步在此完善