1.域渗透之外网打点到三层内网
2.WireGuard 教程：使用 DNS-SD 进行 NAT-to-NAT 穿透
3.CVE-2021-3019 Lanproxy 目录遍历漏洞
4.Windows系统搭建VisualSVN服务结合内网穿透实现公网访问
5.用Ngrok实现内网穿透
6.一键搭建open***轻松实现异地组网，内网内网open***加密传输更加安全，穿透穿透内网穿透、源码源码远程办公

域渗透之外网打点到三层内网

       本次项目模拟渗透测试人员在授权的情况下，对目标进行渗透测试，穿透穿透从外网打点到内网横向渗透，源码源码flappybird源码Python最终获取整个内网权限。内网内网项目属于三层代理内网穿透，穿透穿透涵盖内网穿透技术、源码源码工具利用、内网内网手写exp、穿透穿透外网打点方法、源码源码流行内网渗透测试办法等，内网内网对个人提升很有帮助。穿透穿透

       在VPS映射部分，源码源码首先将内网IP映射到公网，使用frp工具实现。在公网VPS上运行frps.exe -c frps.ini，web1上运行frpc.ini，成功访问到环境。

       信息收集方面，端口探测显示、、、、端口开放，网站源代码查找后发现网上银行系统，通过弱口令和暴力破解未能爆破出用户，但在GitHub上找到源码，发现数据库文件包含普通和管理员账户信息。

       SQL注入测试发现存在Hsql注入漏洞，使用sqlmap无法获取用户名和密码，于是编写脚本成功跑出密码并登录。在另一个地址的tomexam系统中，注册用户后发现存在SQL注入，使用sqlmap获取用户信息，通过解密脚本成功登录管理员后台。

       针对jspxcms-SQL注入，首页允许注册和登录，搜索历史漏洞后发现可以通过文件上传实现getshell，使用sqlmap查找表、用户和密码。登录后编写目录穿越脚本成功上传，获取webshell并使用哥斯拉连接。

       内网渗透中，首先配置内网cobalt strike上线，使用frp反向代理实现。使用shell iponfig收集信息，测试与其他域内主机的连通性，查看计算机名，发现无法找到域内其他主机。查看server的IP地址，发现存在Mysql端口，尝试暴力破解后成功获取账号和密码，使用mysql用户登录Mssql服务器，通过xp_cmshell进行信息收集，使用certutil远程下载木马实现上线。

       在域渗透阶段，使用net view查看域内主机，使用hashdump抓取用户hash值，获取域控IP地址和计算机名。编译并测试zerolgin脚本，将其设置为空密码。配置kali代理，获取域控hash值并登录，关闭防火墙使用pth上线cs，生成tcp监听后jump到域控主机，成功恢复密码并获取hash值。主力直冲指标源码

       项目涉及环境搭建、信息收集、工具利用、手写exp、外网打点、内网穿透、内网渗透、域渗透等全面技术，是一次从外网到内网、再到域控的完整渗透测试演练。尽管靶机未安装杀软，但此过程展示了从外网到内网、再到域控的广泛知识和技能。

WireGuard 教程：使用 DNS-SD 进行 NAT-to-NAT 穿透

       原文链接： fuckcloudnative.io/post...

       WireGuard 是由 Jason A. Donenfeld 等人创建的下一代开源 *** 协议，旨在解决许多困扰 IPSec/IKEv2、Open*** 或 L2TP 等其他 *** 协议的问题。 年 1 月 日，WireGuard 正式合并进入 Linux 5.6 内核主线。

       利用 WireGuard 我们可以实现很多非常奇妙的功能，比如跨公有云组建 Kubernetes 集群，本地直接访问公有云 Kubernetes 集群中的 Pod IP 和 Service IP，在家中没有公网 IP 的情况下直连家中的设备，等等。

       如果你是第一次听说 WireGuard，建议你花点时间看看我之前写的 WireGuard 工作原理。然后可以参考下面两篇文章来快速上手：

       如果遇到某些细节不太明白的，再去参考 WireGuard 配置详解。

       本文将探讨 WireGuard 使用过程中遇到的一个重大难题：如何使两个位于 NAT 后面（且没有指定公网出口）的客户端之间直接建立连接。

       WireGuard 不区分服务端和客户端，大家都是客户端，与自己连接的所有客户端都被称之为Peer。

       1. IP 不固定的 Peer

       WireGuard 的核心部分是 加密密钥路由（Cryptokey Routing），它的工作原理是将公钥和 IP 地址列表（AllowedIPs）关联起来。每一个网络接口都有一个私钥和一个 Peer 列表，每一个 Peer 都有一个公钥和 IP 地址列表。发送数据时，可以把 IP 地址列表看成路由表；接收数据时，可以把 IP 地址列表看成访问控制列表。

       公钥和 IP 地址列表的关联组成了 Peer 的必要配置，从隧道验证的角度看，根本不需要 Peer 具备静态 IP 地址。理论上，如果 Peer 的 IP 地址不同时发生变化，WireGuard 是可以实现 IP 漫游的。

       现在回到最初的问题：假设两个 Peer 都在 NAT 后面，且这个 NAT 不受我们控制，无法配置 UDP 端口转发，即无法指定公网出口，要想建立连接，不仅要动态发现 Peer 的 IP 地址，还要发现 Peer 的端口。

       找了一圈下来，现有的工具根本无法实现这个需求，本文将致力于不对 WireGuard 源码做任何改动的情况下实现上述需求。

       2. 中心辐射型网络拓扑

       你可能会问我为什么不使用 中心辐射型（hub-and-spoke）网络拓扑？中心辐射型网络有一个 *** 网关，这个网关通常都有一个静态 IP 地址，其他所有的客户端都需要连接这个 *** 网关，再由网关将流量转发到其他的客户端。假设 Alice 和 Bob 都位于 NAT 后面，那么 Alice 和 Bob 都要和网关建立隧道，然后 Alice 和 Bob 之间就可以通过 *** 网关转发流量来实现相互通信。

       其实这个方法是如今大家都在用的方法，已经没什么可说的了，缺点相当明显：

       本文想探讨的是Alice 和 Bob 之间直接建立隧道，中心辐射型（hub-and-spoke）网络拓扑是无法做到的。

       3. NAT 穿透

       要想在Alice 和 Bob 之间直接建立一个 WireGuard 隧道，就需要它们能够穿过挡在它们面前的2022占卜源码下载 NAT。由于 WireGuard 是通过 UDP 来相互通信的，所以理论上 UDP 打洞（UDP hole punching） 是最佳选择。

       UDP 打洞（UDP hole punching）利用了这样一个事实：大多数 NAT 在将入站数据包与现有的连接进行匹配时都很宽松。这样就可以重复使用端口状态来打洞，因为 NAT 路由器不会限制只接收来自原始目的地址（信使服务器）的流量，其他客户端的流量也可以接收。

       举个例子，假设Alice 向新主机 Carol 发送一个 UDP 数据包，而 Bob 此时通过某种方法获取到了 Alice 的 NAT 在地址转换过程中使用的出站源 IP:Port，Bob 就可以向这个 IP:Port（2.2.2.2:） 发送 UDP 数据包来和 Alice 建立联系。

       其实上面讨论的就是完全圆锥型 NAT（Full cone NAT），即一对一（one-to-one）NAT。它具有以下特点：

       大部分的 NAT 都是这种 NAT，对于其他少数不常见的 NAT，这种打洞方法有一定的局限性，无法顺利使用。

       4. STUN

       回到上面的例子，UDP 打洞过程中有几个问题至关重要：

       RFC 关于 STUN（Session Traversal Utilities for NAT，NAT会话穿越应用程序）的详细描述中定义了一个协议回答了上面的一部分问题，这是一篇内容很长的 RFC，所以我将尽我所能对其进行总结。先提醒一下，STUN 并不能直接解决上面的问题，它只是个扳手，你还得拿他去打造一个称手的工具：

       STUN 本身并不是 NAT 穿透问题的解决方案，它只是定义了一个机制，你可以用这个机制来组建实际的解决方案。 — RFC

       STUN（Session Traversal Utilities for NAT，NAT会话穿越应用程序）STUN（Session Traversal Utilities for NAT，NAT会话穿越应用程序）是一种网络协议，它允许位于NAT（或多重NAT）后的客户端找出自己的公网地址，查出自己位于哪种类型的 NAT 之后以及 NAT 为某一个本地端口所绑定的公网端口。这些信息被用来在两个同时处于 NAT 路由器之后的主机之间建立 UDP 通信。该协议由 RFC 定义。

       STUN 是一个客户端－服务端协议，在上图的例子中，Alice 是客户端，Carol 是服务端。Alice 向 Carol 发送一个 STUN Binding 请求，当 Binding 请求通过 Alice 的 NAT 时，源 IP:Port 会被重写。当 Carol 收到 Binding 请求后，会将三层和四层的源 IP:Port 复制到 Binding 响应的有效载荷中，并将其发送给 Alice。Binding 响应通过 Alice 的 NAT 转发到内网的 Alice，此时的目标 IP:Port 被重写成了内网地址，但有效载荷保持不变。Alice 收到 Binding 响应后，就会意识到这个 Socket 的公网 IP:Port 是 2.2.2.2:。

       然而，STUN 并不是一个完整的解决方案，它只是提供了这么一种机制，让应用程序获取到它的公网 IP:Port，但 STUN 并没有提供具体的方法来向相关方向发出信号。如果要重头编写一个具有 NAT 穿透功能的应用，肯定要利用 STUN 来实现。当然，明智的做法是不修改 WireGuard 的源码，最好是借鉴 STUN 的概念来实现。总之，不管如何，都需要一个拥有静态公网地址的主机来充当信使服务器。

       5. NAT 穿透示例

       早在 年 8 月...

CVE-- Lanproxy 目录遍历漏洞

       Lanproxy 0.1版本存在路径遍历漏洞，此漏洞允许攻击者通过读取'../conf/config.properties'文件，获取内部网络连接凭证。Lanproxy是一个内网穿透工具，支持TCP流量转发，王国联盟源码适用于各种TCP上层协议，如访问内网网站、本地支付接口调试、SSH访问、远程桌面等。修复前，修复补丁检测路径中是否存在'../'，若存在则返回'Forbidden'。漏洞成因在于未对用户输入的路径进行过滤，允许攻击者利用此漏洞访问任意文件。

       漏洞复现过程中，首先拉取源码：git clone github.com/ffay/lanprox...，然后回退到漏洞修复前的版本：cd lanproxy/；git reset --hard fadb1fca4dbcbcd9fbb8b2f；maven编译项目：mvn package。项目编译后，会在根目录下生成distribution目录，包含服务端、客户端文件。

       在配置文件config.properties中，可以使用Payload进行漏洞测试：运行启动命令：sh distribution/proxy-server-0.1/bin/startup.sh；访问.0.0.1:端口，环境启动成功后，获取到config.properties配置文件，其中包含管理页面用户名、密码、以及SSL相关配置。

       漏洞分析过程中，通过设置debug模式，发现Lanproxy启动脚本中的调试端口为。在IDEA中配置动态调试，断点设置在src/main/java/org/fengfei/lanproxy/server/config/web/HttpRequestHandler.java#outputPages处，通过URI实例获取到uriPath：/%2F..%2Fconf%2Fconfig.properties。接下来，判断该路径是否为'/'，若是返回index.html，否则返回获取到的uriPath。随后，使用PAGE_FOLDER获取当前程序目录，拼接uriPath生成新的File实例rfile，进一步检查是否为目录，并验证文件是否存在。最终使用RandomAccessFile()读取文件，已达到读取config.properties文件的目的。

       修复建议包括：安装最新Lanproxy版本，可以通过源码或最新安装包进行更新。源码下载链接为github.com/ffay/lanprox...，安装包下载链接为file.nioee.com/d/2e...

Windows系统搭建VisualSVN服务结合内网穿透实现公网访问

       SVN是subversion的缩写，是一种开放源代码的版本控制系统。它通过采用分支管理系统的高效管理，使多个人可以共同开发同一个项目，实现资源共享，最终实现集中式管理。作为一个通用的系统，Subversion可以用来管理任何类型的文件，包括程序源码。

       SVN与CVS一样，也是一个跨平台的软件，支持大多数常见的操作系统。本文主要介绍SVN服务器在Windows平台上的安装和配置过程，以及如何结合cpolar内网穿透工具，实现随时随地公网远程访问内网本地服务。

       1. VisualSVN安装与配置

       首先，到SVN的官方网站：visualsvn.com/downloads... 下载服务端安装程序，下载好安装程序后，双击进入安装配置界面，点击Next进行下一步。

       接受勾选框打勾，点击Next进入下一步，默认当前选择，海外理财app源码点击Next进入下一步。

       本界面中有四个选项，除了端口外的其他三个选项都可以点击Browse进行路径修改。Location：软件的安装位置，注意不要出现中文、空格或特殊字符。Repositories：默认版本仓库位置，自己选择。Server Port：端口号，或者都可以。Backups：备份文件保存路径。

       我这里选择了默认路径与端口，点击Next进入下一步，不打钩，点击Next进入下一步，默认第一个选项，点击Next进入下一步。

       点击Install进行安装，安装进度条走完后，点击Finish完成安装。

       2. VisualSVN Server管理界面配置

       点击Finish后，会弹出SVN Server的管理界面，点击上方导航中的操作按钮，点击选项中的Properties。

       在打开的窗口中，首先点击左侧的第三项：Network，然后点击右侧的Server name下方的选择框，输入服务器名称，这里我选择填写了localhost，也可以填写本地局域网的ip。

       服务端口默认选择：，然后把下方使用安全连接的勾选取消，点击下方OK。

       然后点击左侧SVN服务下方的Users，右键选择新建user，在弹出的窗口中设置用户名和密码，并确认密码，点击OK。

       创建好新用户后，我们点击左侧SVN服务下方的Repositories，右键选择新建Repository(项目)，点击Next进入下一步。

       填写项目名称，这里我填写了共享文件，大家可以自定义填写，点击Next进入下一步。

       默认选择即可，点击Next进入下一步，默认选择即可，点击Next进入下一步。

       打钩选项默认即可，点击Create开始创建，点击Finish完成项目创建。

       此时，在浏览器输入localhost，在弹窗中输入刚才在SVN服务时配置的用户名admin和密码，点击登录。

       登录后，即可在本地局域网看到刚才在SVN创建的项目：共享文件。

       3. 安装cpolar内网穿透

       此时VisualSVN Server已经成功登录并运行，不过只能在本地访问，如果打算在公网环境随时随时访问内网的VisualSVN服务，我们需要安装cpolar内网穿透工具来实现。

       3.1 注册账号

       进入cpolar官网：cpolar.com/，点击右上角的免费注册，使用邮箱免费注册一个cpolar账号并登录。

       3.2 下载cpolar客户端

       登录成功后，点击下载cpolar到本地并安装（一路默认安装即可）本教程选择下载Windows版本。

       3.3 登录cpolar web ui管理界面

       在浏览器上访问.0.0.1:，使用所注册的cpolar邮箱账号登录cpolar web ui管理界面（默认为本地端口）。

       3.4 创建公网地址

       登录成功进入主界面后，我们点击左侧仪表盘的隧道管理——隧道列表，再点击创建隧道。

       点击创建，此时，点击左侧状态中的在线隧道列表，可以看到刚才创建的svn隧道，生成了两个公网地址，有两种访问方式，分别是已备案。

       注意需要将cpolar套餐升级至基础套餐或以上，且每个套餐对应的带宽不一样cpolar.cn已备案。

       登录cpolar官网，点击左侧的预留，选择保留二级子域名，设置一个二级子域名名称，点击保留，保留成功后复制保留的二级子域名名称。

       以本次教程为例，地区选择China VIP，二级域名填写mysvn，描述填写svntest，点击保留。

       保留成功后复制保留的二级子域名地址，登录cpolar web UI管理界面，点击左侧仪表盘的隧道管理——隧道列表，找到所要配置的隧道：mysvn，点击右侧的编辑。

       修改隧道信息，将保留成功的二级子域名配置到隧道中。

       点击更新，更新完成后，打开在线隧道列表，此时可以看到公网地址已经发生变化，地址名称也变成了保留和固定的二级子域名名称。

       最后，我们使用固定的公网地址进行连接访问，复制二级子域名：mysvn.vip.cpolar.cn到另一台公网电脑浏览器打开，无报错和连接异常，输入用户名密码后，可以看到连接成功，这样一个固定不变的地址访问就设置好了，您可以随时随地使用该域名来公网访问内网VisualSVN Server。

       转载自cpolar极点云文章：Windows系统搭建VisualSVN服务结合内网穿透实现公网访问

用Ngrok实现内网穿透

       Ngrok简介：

       Ngrok是用于内网穿透的开源软件，它的1.x版本存在内存泄漏问题，从2.x版本开始转向闭源。其工作原理是：服务器端运行于拥有公网IP的服务器上，监听/inconshrevea...

       2. 外网服务器：配备公网IP的服务器，需设置子域名（A、CNAME）。

       3. 内网客户端：可以是虚拟机，本文以Ubuntu .为例。

       准备编译环境：

       1. 安装go：使用命令`sudo apt install golang`。

       2. 安装git：通过命令`sudo apt install git`实现。

       3. 生成自签名证书：执行`cd ngrok`至项目目录，设置服务器域名`NGROK_DOMAIN="ngrok.abc.com"`。然后依次运行`openssl genrsa -out rootCA.key `、`openssl req -x -new -nodes -key rootCA.key -subj "/CN=$NGROK_DOMAIN" -days -out rootCA.pem`、`openssl genrsa -out device.key `、`openssl req -new -key device.key -subj "/CN=$NGROK_DOMAIN" -out device.csr`、`openssl x -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days `。

       4. 将证书复制到指定文件夹：`cp rootCA.pem ../assets/client/tls/ngrokroot.crt`、`cp device.crt ../assets/server/tls/snakeoil.crt`、`cp device.key ../assets/server/tls/snakeoil.key`。

       编译服务器和客户端：

       1. 服务器编译：在Linux系统中，使用命令`GOOS=linux GOARCH= make release-server`（位）或`GOOS=linux GOARCH=amd make release-server`（位），针对Mac OS和Windows系统，分别使用相应命令进行编译。

       2. 客户端编译：根据系统类型，执行`GOOS=linux GOARCH= make release-client`（位）或`GOOS=linux GOARCH=amd make release-client`（位），同样包括Mac OS和Windows系统。

       编译完成后，服务器和客户端程序将被生成在bin文件夹中。

       运行服务器：

       将`ngrokd`程序复制至服务器指定目录，若端口被占用可更改端口号，并确保开启防火墙并打开端口允许外网访问。具体操作参考相关文章。

       开启服务器命令：`./ngrokd -domain="ngrok.abc.com" -`即可转发至`ngrok.abc.com:`。

一键搭建open***轻松实现异地组网，open***加密传输更加安全，内网穿透、远程办公

       搭建open***实现异地组网，轻松完成。

       1、服务器采购，优先考虑国内服务器。

       2、SSH工具选择Finalshell，获取连接地址：hostbuf.com/t/.html。

       3、开放端口或调整防火墙规则，确保网络畅通。

       4、下载Open***安装程序，源代码地址：github.com/Nyr/open***-...

       若下载链接有误，直接从GitHub项目中下载源代码，上传至服务器后执行安装命令。

       5、执行安装命令，配置Open***，选择协议（TCP）和端口（非默认端口推荐），命名服务，确认信息两次，完成安装。

       6、设置Open***开机自启，确保稳定运行。

       7、下载Open***客户端，获取访问入口：open***.net/client/。

       8、访问Open***服务配置路径：/etc/open***/server，调整server.conf文件以适应特定需求。

       9、保存配置更改后，重启服务器，完成搭建，实现安全加密传输与内网穿透，为远程办公提供可靠支持。

云服务器的公网ip可以映射到本地电脑吗?

       云服务器公网IP映射至本地电脑，通过Ngrok实现内网穿透，任意端口映射，解决端口映射难题。

       面对IPv4协议，IPv6商用遥遥无期，内网穿透需求日益凸显。运营商分配的内网IP，限制了端口映射的可能。在寻求替代方案时，Ngrok的自建服务器功能脱颖而出，无需受制于人。

       要实现内网穿透，可按照以下步骤操作：

       1. 创建ngrok目录，编译程序。

       2. 更新包管理器、安装git。

       3. 克隆ngrok源代码至本地。

       4. 安装Go语言环境。

       5. 设置环境变量。

       6. 生成根证书和服务器证书。

       7. 将证书复制至ngrok目录。

       8. 生成客户端与服务端。

       9. 在工作目录的bin文件夹内，生成ngrok.exe和ngrokd.exe。

       . 使用注册表编辑器添加注册表项。

       . 启动自定义服务。

       . 关闭系统自带防火墙，设置硬件防火墙端口映射。

       . 将ngrok.exe复制至c:\windows\system目录，并创建ngrok.cfg配置文件。

       . 编写配置文件，声明域名、通道与端口。

       . 创建执行BATCH文件，设置开机自动运行ngrok -config "ngrok.cfg" start服务名称。

       . 远程桌面测试成功。

       通过以上步骤，即可实现在云服务器公网IP与本地电脑之间建立内网穿透连接，实现任意端口映射，解决端口映射难题。

一文搞懂frp内网穿透并搭建配置使用

       实现内网穿透主要依赖公网服务器与内网服务器之间的连接。本文将介绍frp，一款专注于内网穿透的高性能反向代理应用，支持TCP、UDP、HTTP、HTTPS等协议，让内网服务能安全、便捷地通过具有公网IP节点的中转暴露到公网。

       内网穿透的应用场景广泛，如远程访问家庭电脑、NAS、树莓派、摄像头等网络设备，或实现远程控制。

       frp的安装与配置相对简单。首先，前往官方项目地址（github.com/fatedier/fr…）获取源代码。然后，在服务器中执行下载、解压、移动至/usr/local等操作。服务器配置文件（frps.ini）与客户端配置文件（frpc.ini）分别用于服务端与客户端配置。

       配置服务端时，创建并编辑frps.ini文件，设置好路径、监听端口等信息。服务端启动后，可通过systemctl进行控制，实现启动、停止、重启、查看状态等操作。同样地，客户端需根据frpc.ini文件进行配置，并通过启动frpc命令进行运行。

       访问内网服务时，只需运行服务后输入**custom_domains:vhost_/iii/lucky#...

       安装教程如下：

       根据iii老哥的说明，lucky这个Docker在不挂载主机目录时，删除容器时会同步删除配置信息。

       所以为了避免以后删除后需要重新配置，接下来我们随意在极空间中新建一个文件夹，用来将保存这个容器的本地配置文件。

       然后在极空间客户端中的Docker——镜像——仓库中搜索gdy/lucky。

       点击“下载”按钮后，保持默认的latest版本不用更改，继续点击”下载“。

       这时才发现原来极空间已经可以显示拉取的进度了，着实用心了。

       下载完成后，就可以在本地镜像中找到我们刚才拉取的Docker了，接下来我们直接双击打开。

       在文件夹路径中，用我们刚才新建的文件夹来装载Docker配置文件：

       在网络选项中，将驱动更改为HOST模式，这样Docker容器相当于是宿主机中的一个进程，而不是一个独立的机器，其中所运行的程序同时也会占用宿主机的对应端口。

       接下来，我们就可以在网页中输入NASIP地址+端口号进入lucky进行设置工作。当然如果此时你不在家的话，也同样可以通过极空间的远程访问功能给它新建一个连接：

       连接lucky后，首先需要登录，默认管理账号和密码都是。

       登录后界面如下，功能很多，大家可以多研究研究。

       由于我们只是想转发家庭局域网中其他设备的管理端口，所以主要应用到端口转发的相关功能。在这里依次点击菜单——端口转发——转发规则列表，最后点击”添加转发规则”。

       接下来说一下各个需要填入的参数：

       点击添加后，即可看到转发规则已经生成了。

       此时如果在家中的话，我们尝试一下，用极空间的局域网地址+端口能否打开软路由网关的管理页面。

       如图所示，我的极空间局域网IP地址是...：

       然后在浏览器中用极空间IP+端口号，能顺利访问软路由的后台管理页面：

       输入账号密码后也能正常进行操作：

       确认lucky转发规则生效后，我们就可以回到极空间的“远程管理”功能中，为路由器创建一个新连接：

       点击这个新创建的连接，既可以在极空间客户端内，访问路由器的管理页面了：

       再试一下，用极空间来查看和管理家中在跑的京东云无线宝也没问题，这下是真的方便很多了：

       本文中的相关操作会涉及到Docker，在极空间NAS产品线中，能使用Docker的版本包括4G内存版的Z2S，以及新Z4、Z4S和Z4S旗舰版。

       如果您是非NAS老鸟的新人用户，只是想买台NAS给家人保存资料和照片视频，顺便用极影视看看**电视剧的话，个人感觉入手双盘位的Z2S 4G版就足够了。Rockchip RK CPU性能很棒，4K播放没啥压力，还能学着玩一玩Docker，关键是价格还低，很适合入门使用。

       我自己在用的这款新Z4的处理器是X平台4核心4线程的J，用了快一年后感觉对我来说性能完全溢出了，没遇到过性能瓶颈，而且标配了两个2.5G网口，传输速度更给力，我自己和家人都用得很满意。而且这一款现在价格也比发售时降了不少，个人强烈推荐。

       不过美中不足的是，极空间新Z4只有一条M.2固态硬盘插槽，对插槽数量和处理器有更高要求的同学可以考虑入手Z4S和Z4S旗舰版。

       其中极空间Z4S采用的是N处理器，而Z4S旗舰版使用的是更强的N处理器，性能更强，能通过两条M.2固态硬盘插槽启用读写双缓存，还有 HDMI2.0 接口可以直接输出画面给电视，属于一步到位的选择了。

       另外，极空间的X处理器机型，包括Z4、Z4S、Z4S旗舰版等都全系采用了2个2.5G网口，能发挥机械硬盘的全部读写实力，传输数据更加快速，可以和现在基本标配了2.5G网口的电脑主板完美配合。

       不过一般我们家里路由器的2.5G网口数量都比较有限，硬路由也就配备1-2个而已，软路由一般也不过4-5个。如果遇到家里2.5G设备多、路由器2.5G网口不够用的情况，就可以考虑增加2.5G交换机了。

       正好最近2.5G交换机的硬件方案有了突破，不少厂商都推出的新型号产品，不止售价大幅度下降，而且更关键的是，交换机的发热更少、温度更低，已经很适合家庭长期使用了。

       我家使用2.5G网口的设备比较多，所以自己也趁这机会入手了一台兮克的SKS-8GPY1XF，这台交换机2.5G交换机同时拥有8个2.5G电口+1个G光口（SFP+），其中光口还支持2.5G猫棒，售价却只要元，这价格放在半年前想都不敢想，属实太香了。

       由于采用了被动散热设计，兮克SKS这台8口2.5G交换机用起来非常安静，但是实测运行温度并不高，而且使用一段之后稳定也很棒，有需要的朋友可以放心入手。

       极空间这次新开发的远程访问功能用起来真的方便，可以通过简单的操作就可以轻松访问NAS中的Docker应用，对喜欢折腾Docker的用户来说极其实用。

       另外，只要家里有一台极空间NAS，通过iii大佬开发的gdy/lucky这个Docker的帮助，就能为整个家庭局域网中的设备都进行内网穿透。这样即使我们人不在家，也能随意管理和配置家里的各个网络设备，充分利用了极空间提供了中转带宽，免去了折腾DDNS和其他内网穿透工具的麻烦和费用，这一点个人感觉超级方便。

       好了，以上就是今天为大家分享的内容了。如果本文对您有帮助的话，期待大家给个关注点赞收藏三连，您的支持就是我持续更新的最大动力！