爱吱声

标题: 家里如何建防火墙 [打印本页]
作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:; c, ?9 S% \% P' O3 W
* r% U; c4 r3 g9 U
倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。  j/ W3 ~0 K5 T" d

% Y( d) s; P8 N* s1 R) ^& o要是建一道防火墙,hub放在墙后,可能会安全一点?
- l3 f) U8 E0 T; c8 X- \7 K: w8 m) b/ I& f3 U
怎么弄呢?5 B0 @& R0 i1 @$ ^' K. M
; u6 B8 x( u" @
现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑 ; B* V. v$ ~, a, V. q

! g6 d  [/ R9 `4 H$ _1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
% ]2 g. f3 J, [% [2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。
: K; q' v; U* I. W/ P  \2 _# W3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。; H5 M0 Y" P! c
4. 确认 NAS的 私有云 是关掉的。
: u- j: J( ^: @1 g! A8 K, }( H% z! f# y
5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。
( \  n  x# \, z9 N8 O; V6 {( [* g% ]7 o, S8 _& v
基本上这几点做到了,你就比99%的用户安全了。
- }! s- N: y: p& w7 ~& |
) L) x' I: [5 W" N4 |0 B  `* j  U" d0 e
过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19
1 h6 U7 L& c1 a# h1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.( O% s. z7 ]3 K6 S9 x; F( X3 s" r
2. 手机断开wifi, 在 ...

$ x7 z* V0 _% h4 [6 l6 `, z2 vIPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48
) ]( O: ~2 `4 q& g8 o  V( c现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
2 F, A5 Q: |! d* Q8 ?0 J9 ~& J  ~, r
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19
. K% a, M8 S- a0 {1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
, J: B7 z4 F( J, |  E# U8 W2. 手机断开wifi, 在 ...
5 \  S  x3 p+ G6 G0 D) e9 u
好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:43+ Y  W" k9 N, |& [9 |
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
7 i0 ?' n3 R1 D; I3 M
是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:43
9 \- m6 ]  W6 H! o, L也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
# z6 Z4 l, \& H3 \7 h
如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑
+ u( I- Y8 u! |& z( k, ]- T. n
伯威 发表于 2023-12-22 18:41
5 z: f# p3 R/ Y6 d如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...
; u3 W& y! \* r4 l& p: I/ T
; r4 s! G7 @+ R/ J3 P$ R! K- u
怎么查呢?+ O  c' P* f" j/ m$ G3 g
8 V0 x- H! ]$ a0 i' {; H  Z- s
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48
1 w/ h$ u4 ?( j4 `5 t怎么查呢?0 Z. I' ^" E% w; F% _
3 m" g( \& e0 h7 b- B
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...
' M, e6 F% Z4 }8 f* d7 V$ K
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。) b# D" o8 D' r- j
走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30, Y" ^9 g2 `! q9 d$ g9 _
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...
# f0 A8 b+ a" R$ B8 o7 S
听了诸位大拿的话,突然定心了很多。( z8 R9 `' X" X, N

8 f. c* Y0 A! T$ y+ M$ d' O* ?想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
( z( ~1 Q2 f% M5 V6 j1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.+ a: q  Z" i& G
2. 手机断开wifi, 在 ...
: g7 H8 }" t2 {+ Y8 j
我还加一个:
* X% X1 H& t% I7 s; u6 J把Ping的应答给关闭掉0 g, n# |% L$ l3 e
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46+ w% b# v! A0 T) V
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...

' K5 L7 U( r/ Z; x2 b: q这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:453 z7 B9 N+ W( u* n" P: U. s: |
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
# R* z0 r' h$ r+ H# V7 `& t4 F
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:06, R& J7 g4 i" a1 l0 @9 }1 G' c
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?

* O) b' K& g& g- I3 E9 ]" {不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:55
! R: N& V" e3 B  Q& ~不会的
7 T+ O$ D! l2 X
这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:43
- i* k& H9 n! n2 w  J也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
- {9 U# n6 v0 ~6 M/ M& t: P
嗯,剩下的一般人也搞不定。那是FBI的事儿了。



欢迎光临 爱吱声 (http://129.226.69.186/bbs/) Powered by Discuz! X3.2