爱吱声

标题: 家里如何建防火墙 [打印本页]

作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:
* \- F. R, i# {6 y- T" l, A- f& y2 E* ?
倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。% Z. F' Q; l# U3 }& I7 z5 c

4 s6 Q& D* [8 Y要是建一道防火墙,hub放在墙后,可能会安全一点?
% m; r3 i0 v: f; [- H# ^; e) z8 [& w" k
怎么弄呢?" N! L& b0 [6 c2 W0 l6 Q( G$ `( ?

' ?" S1 L2 j3 A3 w( o  o现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑
  e+ l3 G9 h' m- r! k/ ?- `2 s9 j3 d. a2 q; s9 K9 e; i
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
! C; K( n6 ], b2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。% X! Y! v% l/ n+ `! J, W* a! C+ q6 j- l
3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。
+ P" ]$ O+ J# e5 m* z* u4. 确认 NAS的 私有云 是关掉的。! ?3 }% u! m7 ^9 {/ z' U+ W  @

6 ]' Z+ a1 \1 {# Z3 j0 t5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。6 l* B% O. y7 Z% r$ n

9 |; b( a2 ]+ l# k基本上这几点做到了,你就比99%的用户安全了。
: i% T; Z/ c! y$ O3 \8 ^' r" T8 e: Q* W5 Z1 x/ V" ^

3 ?( ^7 @6 f" m' Y4 l; [过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19+ M, ]9 L8 ?6 N1 a* y
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
) z! t, e' v+ Z4 @! N7 K2. 手机断开wifi, 在 ...

$ j3 M; j% Z3 t3 x! |3 X4 QIPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48
; x& ]1 R$ i2 W9 _) u现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

* ~' @" _$ c+ A( s* m: |* h也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19
% i9 [) Z- e$ A# e1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
& `; N. A$ ~: d7 r2. 手机断开wifi, 在 ...
" R/ m/ V& q1 F9 V
好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:43% }, _" N# r5 U8 D$ f  }( f
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

' l" A6 m" A: ~4 Z# ^# S4 {是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:43
5 p2 p: w. _' x6 U, B  ?7 a也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

- T/ T( E7 D( Y2 g& N如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑 * H2 q  k# p9 w( ?+ ?8 {
伯威 发表于 2023-12-22 18:41+ Y/ j5 T! S; e8 b
如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...

- A5 i0 q1 s2 E" _$ l3 Z
* O$ B5 y" ?, M# p  N+ y* k3 u怎么查呢?
6 L7 {) B( A6 n' X4 y( W3 r) s& ~/ X4 M
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48
2 @0 V5 O) b- F( k. W3 ~怎么查呢?9 i+ a: Q" P! E/ F

/ O. |& A3 Q: C% w我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...
0 V- w8 f# Z5 J, L. G
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。2 K- ~- l" ^5 ~& ]8 r7 O
走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30# L3 ?* E8 J# r) F0 F( ]& O
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...
6 W$ a, X0 A- r5 k1 l6 i6 i
听了诸位大拿的话,突然定心了很多。
. j% B) r5 R; Z; \0 F4 L; @
/ V2 J8 G7 H7 h$ E4 B! O7 I想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
, c( U$ k+ `% p5 V0 @& F1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.. o5 @* A2 ?4 V9 U6 b/ z% |3 t
2. 手机断开wifi, 在 ...

$ U8 ^8 X! |3 _; t; L我还加一个:
2 [8 u) H$ Z; I把Ping的应答给关闭掉
6 Y1 Y1 V3 z( w' c) G
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46# t3 n$ B( E. b5 i4 S' q3 E
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...

0 x1 m: n  h6 t7 @& H这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:451 \' `' a% B3 W* E
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
; K! o7 y. b9 _/ p
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:06
$ P6 j" O1 j+ s- j: w' v6 d游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
  N1 A( Z9 d' T. w
不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:55
' s& p( R; l% S1 \4 Z  A) ~不会的
1 ?: z, g; m% W" }9 H, r
这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:439 G( s7 v8 W  d6 \
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
1 \/ n9 m( }4 R, b: Q1 W4 W; I! I
嗯,剩下的一般人也搞不定。那是FBI的事儿了。




欢迎光临 爱吱声 (http://129.226.69.186/bbs/) Powered by Discuz! X3.2