爱吱声

标题: 家里如何建防火墙 [打印本页]
作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:! X1 Q$ d& d) J8 D, v
: M- w6 L. @& s  f
倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。5 n5 C# ^0 n" w! c% M1 k
. l# B  V/ m6 Z3 X; l& j3 s3 y
要是建一道防火墙,hub放在墙后,可能会安全一点?
+ U- e' c5 r5 x$ j- j+ m* ~, q/ W+ p! D. k- D6 k9 w4 I$ |
怎么弄呢?% E/ _4 d& V5 e- m
, V9 N6 n7 Y+ n8 o" D4 _( k9 K9 d
现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑
% ?6 ]9 [8 ?, o- @2 G9 [
0 w6 \# i) U8 t6 K  B9 M1 H1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
' b0 J! m# L; o$ [' p2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。
. o5 _5 l8 x' P( U3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。4 j. @- [$ [0 k4 _- e
4. 确认 NAS的 私有云 是关掉的。
3 f: Z6 e& Z+ @7 U! `$ c! ^" I8 E1 R4 f" V* a/ f, e
5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。; S# H1 s  G% j: ?

9 @- p5 C4 J& p) G$ x7 \基本上这几点做到了,你就比99%的用户安全了。
+ U7 j2 i, c* U6 D0 j2 ^7 B
- Y7 W7 x4 |, k# G0 G, t; B: X" H# x0 F, V/ l% h
过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19
  ?& Y( [* N; W+ G+ `1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
4 X1 _9 F/ }, n. Z7 P2. 手机断开wifi, 在 ...
# W; ^5 B3 c& }- k3 z! @# j* y
IPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48
# d! V  x: ~7 a! X, Y% f" u$ i+ W3 ~现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

# L; t5 C% i, S. Q# k) F也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19
- C+ T( ^$ R' B9 [- O) [; ]( A1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2 v# M* v  q* u- G2. 手机断开wifi, 在 ...

; f% S8 o  V- G/ d& O好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:434 P) y' S1 g& L
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
7 C3 {, t) b  w! D* M/ K
是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:430 t1 Z# U) s' |) K% K1 e4 K
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

+ i2 ?( ]' o' g4 v如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑
2 n( ^, p6 [( g( l3 v1 U1 f
伯威 发表于 2023-12-22 18:410 ?' s# [5 S- ]5 I& N* B# v( Q
如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...

. q+ d6 d6 r2 I$ `
8 D. U6 j: r# O7 e. ?& `0 j8 l怎么查呢?1 t3 j' A( m+ j2 B# F8 M: N3 W& J

3 I& E- `. H4 N: v+ ]; x我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48. i5 D$ E0 y- w/ i( g6 O1 u
怎么查呢?0 X! G7 M6 }9 ~0 A

- }7 L6 h' n1 t% M6 \我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...
+ h. F4 w. C3 j* d" P
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。
3 [" e, y" [$ n! _走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30! k7 z/ j+ b: O
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...
) Y3 T" E: J  e2 ]# R% C
听了诸位大拿的话,突然定心了很多。- i. H+ {7 R, F/ ?
( F1 V& i, C9 G$ l, z9 S0 g
想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
  S* A3 y+ j/ T1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.' h/ H2 l7 x8 s
2. 手机断开wifi, 在 ...

, `0 W6 ^- u% e' T  x  g9 A我还加一个:
/ n  C* d8 X. ]% U# }! d! {' a把Ping的应答给关闭掉9 G* y4 y- P% q* T
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46
0 m- E1 i1 L0 r  C  H$ ^% x- r还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...

6 o/ G$ ?" Q: @  y$ D" F) i这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:45
+ V5 L3 L: w' m0 l路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
5 i$ e4 {4 a1 }6 G; \' {
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:06  Y2 y+ ^* X5 J6 Y$ X
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
9 g3 r& \  N3 i, ]
不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:55
1 }* z7 M6 w3 B+ U1 n不会的

( [/ f3 A+ F4 X这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:43
! w( K& a) @2 W# X也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

' s+ d; t- w6 `/ l嗯,剩下的一般人也搞不定。那是FBI的事儿了。



欢迎光临 爱吱声 (http://129.226.69.186/bbs/) Powered by Discuz! X3.2