爱吱声

标题: 家里如何建防火墙 [打印本页]
作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:( Q( f9 o7 q: M/ O$ A! I' ?

! p; s5 N; _8 x5 P. }倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。
- }6 Y2 z; B, i: p* `; g/ d3 z" n5 V* a) k3 Z
要是建一道防火墙,hub放在墙后,可能会安全一点?% I( n. A6 L& D# }# O' u# u
: G& K1 U: {! |9 D# B1 ?
怎么弄呢?
8 Z. K4 D: w! b/ a
+ X( A* J; o' h3 D& h现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑
# F. T9 N$ ^* E2 E2 m) s, e! T( r- S7 T- b, q% w
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
0 Z! g8 `& T9 G2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。! x9 n9 P7 U1 k
3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。5 R3 p1 {9 n$ j% g& w
4. 确认 NAS的 私有云 是关掉的。
0 i6 v: L3 Q6 n8 }  z* Z
6 f; b2 M; K  O0 C; S5 o5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。( ]  Q, P! D! R7 c$ _" h6 R

" S/ Y/ {" q- _$ N9 X( O基本上这几点做到了,你就比99%的用户安全了。
) T. S- m4 Q' n5 l: e3 w6 Q6 ^3 l5 U3 ?' ~' m& ]! p! @+ p+ \6 `

% y5 T5 O" ^9 u8 z* R; R过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19
# }" U  ~2 L6 K: N4 d( W1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
0 v. H) D. d6 G8 L2. 手机断开wifi, 在 ...
/ ]0 n2 b% W! l8 b" O/ |
IPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48% l9 B" P% Z5 H
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
" A9 s9 d0 l+ H2 g% [6 b
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19
$ ]6 G5 r5 I+ ^5 A1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.7 Z3 _. S1 `) P# B* n7 L+ h& J7 a5 N
2. 手机断开wifi, 在 ...
+ i+ j- ^  s7 k
好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:435 m/ w- M# b4 h2 ]" u- p
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

. Z! C8 P7 \- m4 v3 b  }+ ~是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:43: U/ d+ L5 o5 _5 ]
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

( g9 ~0 V* z1 C4 T( f& ], H; w如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑
4 ]0 y6 |8 }  m2 r' c
伯威 发表于 2023-12-22 18:41
* |, W4 n. N3 _) Y( N" c. [如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...

4 R1 d) p  _. Y3 s9 X
+ {: U4 K4 F7 v怎么查呢?
* n2 t, z* U0 q! `0 o
: j4 P. n, v* |) Z9 k$ w: E6 G' T, `: ?我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48
& g( J: N/ p( x5 E* I怎么查呢?" t& t, X0 e) u

0 S2 M" @8 Q. k. n我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...

+ _( W- T( V/ C( s  f. N6 |前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。
% i# i- g7 ~: X# T! F" d" o; y7 a: X走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30
  ^& U* X! r  I* D  Z$ ^. i前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...
' B0 P1 A2 i% C3 p3 {+ ]6 w
听了诸位大拿的话,突然定心了很多。
" I+ V! ^; N$ u; J
% j' r+ I5 j8 T想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19$ Q4 ~- q6 T4 ]% U5 x
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
. M0 [4 f1 k& {1 ^, d0 Z2. 手机断开wifi, 在 ...
9 `% v) J: R, N) d# |4 }
我还加一个:3 \5 G1 {  C$ V/ E5 X2 F) {
把Ping的应答给关闭掉
; ], J- i! c5 h, E8 v! r/ e" i
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46
7 W) l; b% f# H5 T% }% s还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...
% L% F$ S, y2 a9 E
这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:45
+ [5 |% a# y5 |( u0 q路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
: j/ ?4 E7 G" X5 g
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:066 ^2 @! c" d7 a/ T) P
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?

8 k8 Q6 s# z" d* E$ J' Z不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:557 L; M* K" S0 w' d+ G
不会的
) z+ m+ U1 @! z) S7 x
这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:43
1 R' q5 C" P# |9 u, A" e也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
1 r4 d) f4 j- w: w6 G0 b
嗯,剩下的一般人也搞不定。那是FBI的事儿了。



欢迎光临 爱吱声 (http://129.226.69.186/bbs/) Powered by Discuz! X3.2