爱吱声

标题: 家里如何建防火墙 [打印本页]
作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:" O* B4 f$ K4 R" n

, d$ T  F: w7 k5 Z倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。
- f! ~5 N; w* v1 M/ f' [- f# a, O7 ~! e1 [2 U. \  I3 N
要是建一道防火墙,hub放在墙后,可能会安全一点?
) k4 J% v; S! p9 W" L" l: S- V( X! k' F
怎么弄呢?
) _6 O# Y5 D  G- ~$ E( p2 _7 F$ G5 i- d& b) x
现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑
: g6 R8 m$ [1 _; e
' r( m) |4 V( U+ N1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
" M" u* l! v' \# W9 a3 [5 D2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。
& y" ?2 r  y5 e' \9 b2 M( i3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。1 O4 M) x; [9 F7 j) ]) u' {
4. 确认 NAS的 私有云 是关掉的。
- d% @1 U- e3 k1 ~9 F  Y& }/ w; S  d* F1 i* r: N
5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。
' p9 i( \: R9 d" D) L- w' V" M
" \5 N& R/ F3 P" [0 r基本上这几点做到了,你就比99%的用户安全了。
: j1 [7 q& t4 A) b; u- Z" e
- Q( h& ^" f, W9 T& D+ A
# u% k+ Z0 ?5 t过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19( E  Z! {) z& l7 S$ a
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.7 ]+ J. V) d( A- W  C
2. 手机断开wifi, 在 ...
' @4 ]/ B8 m( l1 E, ?; c
IPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48; U! U, G% ^* t9 b; X1 i
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
) ^  u: X1 m5 e7 z. K' v, p. L
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19$ \  s, R$ l! v+ X
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
. K# u8 _/ w) I, m, R7 b2. 手机断开wifi, 在 ...
0 U, U0 f/ _6 W$ ^% ]. e/ u
好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:43
' T6 `- [, _* |1 p也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

, y+ j5 t$ p0 }9 |/ R! r9 j! H是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:43
6 k, V  A; J5 ~8 _也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

# B9 Q  r2 h5 F: A" ]2 S如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑
/ t. V7 u0 a9 Y# w# O! G" W! ~: w
伯威 发表于 2023-12-22 18:41
  g2 x( Y* [: k: Q8 ?如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...
$ E$ F6 ~( u! U) `% }8 g. ~' x
3 D0 @' E% g% |7 i3 L
怎么查呢?
! p5 C& y, O3 v8 I! [6 A! W) x) m
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48
/ P" J: X6 k% H0 \怎么查呢?7 Y5 H/ m: k3 }0 W
8 M* R2 O# k, b" N0 M3 k
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...

. B4 X  A" a/ \, w5 B前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。2 ?+ ?! ]9 S# r9 L
走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30$ T% K/ {1 z7 H" t8 F
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...

; P& ~: G/ q: D6 {' v5 p$ ^2 t听了诸位大拿的话,突然定心了很多。
) @5 I8 K1 a- j/ w- M$ `/ `0 g* L- @9 Q/ \0 L( A* `, m
想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
9 Q+ ^" \8 y5 B9 a) {! ]* e1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.7 E, s9 n( s4 W8 ?
2. 手机断开wifi, 在 ...
" n: {6 Y1 \2 R; ~2 C
我还加一个:# v) H: l' \. _
把Ping的应答给关闭掉9 K0 w2 V6 M8 [% e% w
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:469 H. l, j4 Z% F0 d- V
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...
# a% x4 p7 v2 w1 j
这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:45
0 C- b2 \' f' t3 b5 K( u6 p路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
4 t3 i* C2 F  E2 t
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:06
, R, G8 t9 @+ c游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?

/ t7 [' B3 W  o, {" W! [不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:55
  \/ O6 o, h8 t! S$ ^' f不会的

+ s! u! O/ x9 o0 c, X$ c0 ]5 M这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:43
' _6 @' I9 V% u" U也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
* l& ^8 x: n& L. i# j
嗯,剩下的一般人也搞不定。那是FBI的事儿了。



欢迎光临 爱吱声 (http://129.226.69.186/bbs/) Powered by Discuz! X3.2