爱吱声

标题: 家里如何建防火墙 [打印本页]

作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:
' M6 x" p* |2 N% Y) E/ B
, h) X0 Y2 ^5 Q/ L& s倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。
3 N0 J2 v9 E) g- A8 C, n) p4 T, L2 d" S
要是建一道防火墙,hub放在墙后,可能会安全一点?
$ k) \  u4 P8 }+ H  X( f3 e9 d) l+ W2 @. l& Y- D$ {; T/ A
怎么弄呢?
. O. |+ n  f, S& y7 _0 k2 G4 g1 x5 x( v0 ]. y3 G
现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑 : k, q. E4 U3 P" A; y9 n, y

0 [; a  `1 B  T+ P  d/ D; H1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.9 B% V8 n3 R8 R# ?& @0 c# Z
2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。( Z2 z; Y1 N5 F' s
3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。
) V# c( e7 g. K* ]7 Y" L( U4. 确认 NAS的 私有云 是关掉的。. x% L9 d. o% p4 Y
$ N0 T( ?/ s/ t$ [# Y$ K$ A
5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。' D8 \# ?- J6 v) Y4 ~. G
! s) F5 P9 Y. [
基本上这几点做到了,你就比99%的用户安全了。
9 i7 ]; q1 p# z% a$ X9 y  }- u9 I! k3 r! [* m
) F" m9 a% \; L3 Y/ P5 t: y" T
过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19" o0 b! \% T. \- w
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.* l: ?! S- G: G) Q( o7 R
2. 手机断开wifi, 在 ...

* v7 q7 `+ W4 w3 f  M1 jIPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48
* }0 c/ C4 S( I) J1 a( e5 y+ @现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

7 I/ }' c  A0 [% [' y7 I! \( f也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19: Q  s# o* b0 D4 K
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip./ r% I1 H: L) ~5 {3 i8 H% m2 S7 i
2. 手机断开wifi, 在 ...

  x( R3 m2 b9 c+ O4 `好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:431 G: M) ]# h. y" R
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
0 j& s1 Y$ t# C/ W8 ^3 B4 m. [6 Q
是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:43
' ?* h4 ~: H- M7 [" @3 X) r1 I也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

- ]- G8 R* Z, }* ]1 V2 X如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑
" e2 ]* X  M; n1 L
伯威 发表于 2023-12-22 18:41# `3 z" }5 U; Q
如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...
7 j8 T0 a3 p- Q% w! T6 z
! Z2 j* K+ c; }; e4 G
怎么查呢?' j$ D2 R/ P$ v+ t# t" H

" R& [% c" i4 I6 D2 O我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48
/ j0 [7 ?* M' D7 g! ]怎么查呢?* ?. P0 X+ V& C2 [  D8 `

5 {4 M: ]* I( k我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...

" R. ~6 v7 p/ J9 j% E( Y前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。4 e5 L+ W( ~/ e# |* b! {" _
走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:308 u4 M. S, i3 u& n( x
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...
* ~9 ^7 W; r8 \
听了诸位大拿的话,突然定心了很多。4 L8 S) A# B$ \* B- E2 j' Z0 O

* c5 O+ V: [; y7 N( N想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
. M5 i! a9 r' U: r' z9 i1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
& t0 b: b& D* ~  V7 \  V9 n+ k( e8 J2. 手机断开wifi, 在 ...

7 _/ P  Y; q& i我还加一个:
# h( U% V; @% c5 Z$ _: ]把Ping的应答给关闭掉
% U1 U( v* v1 y! Z6 N; _# m3 a
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46
; ]* t7 N  U/ @5 r6 X还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...

  u9 E- w5 ~) y( K* _# L' y8 P% N这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:45
1 P9 \# L& |8 u路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
  _- r  `0 d9 j# a
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:06
/ h: G; E* ]$ S2 t9 o' ~游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?

0 v- h. L! A; C不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:55/ ?, h& Q3 D& i& D" i9 H8 V9 ~+ f
不会的

; [  E1 }5 H  j4 l这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:43
7 Q; a8 E8 A& x# U& |1 h* V也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
; X2 s! V; V( H5 }
嗯,剩下的一般人也搞不定。那是FBI的事儿了。




欢迎光临 爱吱声 (http://aswetalk.net/bbs/) Powered by Discuz! X3.2