家里如何建防火墙

晨枫

万能的爱坛啊，又要来请教了：
5 a- K7 w  R# g# t. r  ?! w3 d& R
& N6 @( U! K/ r# @* Z. R倒是没有过硬盘被劫持的惨痛经历，但家里装了NAS，总是担心是不是有一天会被黑。

要是建一道防火墙，hub放在墙后，可能会安全一点？

& ~) W: W3 e4 t  P怎么弄呢？

现在是ISP（Rogers、Telus之类）的modem-router自带ethernet口，一器两用，闭着眼睛当做安全了。这够用吗？

密银

现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

数值分析

我也没防火墙，如果搞得话，弄个linux盒子，开iptables，应该就可以了。

雨楼

. [+ c; @/ t0 ^4 o1 I6 `4 {1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能，你需要进router里面，把外网访问（通常为端口80）关掉。 如果不能，大概率你是安全的。
3. 同样，测试一下端口22, 这个需要用telenet/ssh 软件，自己放狗搜。通常默认是关闭的。
1 O. U$ i+ l! d( K1 j$ N* v4. 确认 NAS的 私有云 是关掉的。
* f! r* a" t" u( m( L5 Q
* |  E# c: Y, ~8 [( M: u$ h5 i5. 进阶项目： 查看router的防火墙设置。确认没有可疑的端口转发（port forwarding)。默认出厂是没有任何端口转发的。
$ P$ p* r% k- j7 Z( H+ b6 H: U
基本上这几点做到了，你就比99%的用户安全了。
" [0 ]  f2 ?7 Y. p+ Z

7 d8 E! I8 S) Y) t过于敏感的东西，就不要放到联网的设备上了。

赫然

雨楼 发表于 2023-12-22 14:19
) _5 c8 J( L4 z! b- L8 j' v0 c1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

; G: `2 z+ u( w) Y2 g& QIPv6不安全么？

晨枫

密银 发表于 2023-12-22 11:48
; I4 Z2 I: F8 m5 M现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

晨枫

雨楼 发表于 2023-12-22 13:19
! }1 N: }/ J* \* ?1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

好像技术很深奥的样子，我试试看。多谢了

密银

晨枫 发表于 2023-12-23 07:43
7 g; u7 n' J& s* n6 `& _也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

7 @7 G9 F' a' m是的,所以social engineering 才重要

伯威

晨枫 发表于 2023-12-23 07:43
也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

' ^/ m6 [# s. ~- e' _如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。

晨枫

  w6 O. V7 ^- @/ b: Y6 P) h2 g) m

伯威 发表于 2023-12-22 18:41
如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。 ...

怎么查呢？
  a1 u" o4 C, U4 h& m
  F( S3 p( ~6 v  c4 @我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。

伯威

晨枫 发表于 2023-12-23 08:48
6 e" U/ B! {) X% T7 E8 r( T怎么查呢？
: n! K0 R: _# I( `) c) p
. ~7 a) }) |1 ?0 `' Y& P8 d6 M& s我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。 ...

前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧。路由器的端口设置，你可以在路由器的配置网页上看到。
8 X- \( e' j! u, K  Y0 v走IPV6的话，理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了，可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的，虽然关了可能更安全。

晨枫

伯威 发表于 2023-12-22 19:30
6 d0 X6 @2 D$ g# E% D( b2 u前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧 ...

听了诸位大拿的话，突然定心了很多。

想想也对，家用路由器一般没有理由对外开放端口，这又不是工业设备，需要有远程支持。

东湖珞珈

雨楼 发表于 2023-12-23 03:19
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
9 A) S& U: o7 p* q# T5 v2. 手机断开wifi, 在 ...

. U% O# ]2 \6 K; V我还加一个：
& J  t" ]8 U* A2 H* `" r) ^  o把Ping的应答给关闭掉
+ F0 `& q) V) S: [8 U6 T" F6 y( Y

straw

还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。

晨枫

straw 发表于 2023-12-22 21:46
还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自 ...

* m7 B3 r9 x! A这是什么东西？需要关掉吗？

straw

路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

晨枫

straw 发表于 2023-12-23 00:45
9 T  P0 c! c9 X( f1 s; P路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

+ c0 r& L) `+ P# m4 t' `游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

straw

晨枫 发表于 2023-12-23 21:06
8 R& n3 S! K' T游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

6 l& a4 W3 v* d4 X" ]' c不会的        

晨枫

straw 发表于 2023-12-23 07:55
不会的

& C6 F$ P1 F; X. Q5 r- y; V这就放心了。

雨楼

晨枫 发表于 2023-12-22 18:43
) @4 {5 ?: w  O4 a/ Y% M也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

# u9 R& P% F# v- w3 q嗯，剩下的一般人也搞不定。那是FBI的事儿了。