家里如何建防火墙

晨枫

万能的爱坛啊，又要来请教了：

倒是没有过硬盘被劫持的惨痛经历，但家里装了NAS，总是担心是不是有一天会被黑。

0 R+ s$ b9 ^  V0 Q, i要是建一道防火墙，hub放在墙后，可能会安全一点？

4 c6 t* O% d( S# |' Y9 l; D怎么弄呢？

2 a) t2 z, r/ G2 J) u& n现在是ISP（Rogers、Telus之类）的modem-router自带ethernet口，一器两用，闭着眼睛当做安全了。这够用吗？

密银

现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

数值分析

我也没防火墙，如果搞得话，弄个linux盒子，开iptables，应该就可以了。

雨楼

: r4 Z% g/ [3 Z6 Y+ p4 ]1 u
! p! }( L4 \9 f" f, E- ]( `5 G1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能，你需要进router里面，把外网访问（通常为端口80）关掉。 如果不能，大概率你是安全的。
3. 同样，测试一下端口22, 这个需要用telenet/ssh 软件，自己放狗搜。通常默认是关闭的。
4. 确认 NAS的 私有云 是关掉的。

+ j$ f1 {% R4 b/ u: s5. 进阶项目： 查看router的防火墙设置。确认没有可疑的端口转发（port forwarding)。默认出厂是没有任何端口转发的。

基本上这几点做到了，你就比99%的用户安全了。
# R; I! X) ^+ m. J- Z6 [% Z
) _- L2 h, S, s8 Y5 G1 H; Q
1 {/ {# p; q, }# a过于敏感的东西，就不要放到联网的设备上了。

赫然

雨楼 发表于 2023-12-22 14:19
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
: @) L7 m5 o% q+ }! o. u2. 手机断开wifi, 在 ...

4 y4 e& s" E$ b. ?IPv6不安全么？

晨枫

密银 发表于 2023-12-22 11:48
! M, l* a! ~- n& v; [现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

晨枫

雨楼 发表于 2023-12-22 13:19
: Q) t4 ^# ~' g1 x1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
. t  s& \' S0 E' ?- B4 h2. 手机断开wifi, 在 ...

好像技术很深奥的样子，我试试看。多谢了

密银

晨枫 发表于 2023-12-23 07:43
( @  f! K) r: z. r& |/ `: Z- F也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

" i  o+ _0 o  q% A! l是的,所以social engineering 才重要

伯威

晨枫 发表于 2023-12-23 07:43
也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。

晨枫

7 R% Q8 g% @. W% ^% d. E

伯威 发表于 2023-12-22 18:41
1 p' {. a6 `* t如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。 ...

$ J5 }( |3 p3 d+ T# C怎么查呢？

我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。

伯威

晨枫 发表于 2023-12-23 08:48
怎么查呢？

我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。 ...

0 Y) e: k9 q1 P- i前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧。路由器的端口设置，你可以在路由器的配置网页上看到。
走IPV6的话，理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了，可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的，虽然关了可能更安全。

晨枫

伯威 发表于 2023-12-22 19:30
3 B' W' L# n6 [5 B2 T1 r前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧 ...

听了诸位大拿的话，突然定心了很多。
& M% S; g% _. z$ J( G
想想也对，家用路由器一般没有理由对外开放端口，这又不是工业设备，需要有远程支持。

东湖珞珈

雨楼 发表于 2023-12-23 03:19
; a7 B- T+ v. C- w# ?9 P- a1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
% Y3 w" ^8 O. x2. 手机断开wifi, 在 ...

) G" J8 b2 M8 ?我还加一个：
把Ping的应答给关闭掉

straw

还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。

晨枫

straw 发表于 2023-12-22 21:46
. u2 c- N  L" C6 n( b, Q) [9 o2 [还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自 ...

! ~: [" [2 e! [" B, a这是什么东西？需要关掉吗？

straw

路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

晨枫

straw 发表于 2023-12-23 00:45
& I& ~/ F, u" O+ |% f4 z. e. e6 h路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

" K, S6 X) E& }7 q游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

straw

晨枫 发表于 2023-12-23 21:06
* Z2 I! I% I; A) D3 ?) q游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

' G0 A* r0 s/ K5 \( \0 {不会的        

晨枫

straw 发表于 2023-12-23 07:55
6 k& i* D  q3 P1 S8 |# e. B! q' @不会的

' J$ g3 h$ \: o2 u2 m这就放心了。

雨楼

晨枫 发表于 2023-12-22 18:43
$ w3 g5 p& q+ w; @, f( H3 u: {# E也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

嗯，剩下的一般人也搞不定。那是FBI的事儿了。