关于飞牛 OS 作为小白 我想问下

没有安全性，早点关机

我看 bug 的描述，是在飞牛登录页的 url 上加上特定路径，就可以跳过登录直接访问到文件资源。 所以直接暴露公网的，比如通过 1.1.1.1 可以打开飞牛的登录页，url 后面加路径就暴雷了。 对于飞牛自己的 FNconnect ，通过飞牛域名 url 可以打开飞牛的登录页，url 后面加路径也是一样的。

而 frp 方案，比如你反代的域名是 domain.com ，这个域名能打开你的登录页，在 url 后面加上特定路径，nginx 也会反代，所以你这个方案也是有问题的，在 bug 的影响范围内，没有遇到问题是侥幸。

似乎可以在 nginx 里配置 waf 规则，把特定路径做关键字屏蔽

绕这么大一圈意义在哪，如果非要把飞牛挂公网的话直接走 Frpc -> Frps -> WAF -> Internet 的路径就好。

作死操作, 这么玩等下一个 0day 直接暴死. 只要暴露到公网就是死, 跟你用什么方式没关系. 最优方案就是套个 VPN.

@penzi 没必要吧

@keyu1103 懂了 谢谢 我知道

waf 规则设置好，https://test.fukit.cn/autoupload/fr/UalfgOtaVnIY_qdp_r4PFjxgcNYzBv9j1yvM1RA0Kdyyl5f0KlZfm6UsKj-HyTuv/20260203/Nrs1/942X480/121.png

服务有漏洞的话，只要从公网能访问到，不管中间套了多少层都没有意义。

除非你中间给加了 waf ，并且 waf 能做到正确识别到并且能阻断恶意请求。

做这么多，不如在 nginx 上套一个端口敲门来得实在

@fibroblast #5 建议这几天即便不关机，也最好关闭公网的访问，这段时间安全圈都在研究飞牛，已经有朋友给厂家发邮件了，漏洞不止流传的那俩个。