爱吱声

标题: 家里如何建防火墙 [打印本页]
作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:
/ ~7 @2 ?9 D2 F. L! i0 B
7 M, o. i7 u( ]( b% n* ^倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。
' e( @( i" S3 a2 f3 T$ M
' s3 O, }: w# Q% F) C要是建一道防火墙,hub放在墙后,可能会安全一点?; ~! E. b/ L) \0 F$ _, {; z

) G/ D- A4 W! f- T5 M怎么弄呢?+ O, r! w+ B$ h4 r5 q, i9 G# I: h
$ b2 z4 w! v3 ~; K! n* x5 M/ M
现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑
* S# ?9 q, ?$ q- ~! j+ G) U  i7 S" b/ V9 `# F8 l8 |
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.9 u9 Y4 F0 S% O5 d% c+ o
2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。
! K5 S% t$ K3 G) O1 v3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。1 |5 w/ Z3 V  ~" ~
4. 确认 NAS的 私有云 是关掉的。
1 h* W1 i( r" c8 a% y( e; S1 ^) p# v$ m: B
5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。% e. ?/ f- O0 @/ d0 ^8 m
/ x, X$ ]$ k" v* A/ R, |
基本上这几点做到了,你就比99%的用户安全了。
: F. C  i! L( `, k: o0 j  Z2 R0 o& y# c+ q

* Z: ?. ~1 h0 Z6 G/ i8 f过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19
& `  v) u! H) m1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.* b/ N& X6 a& X+ J
2. 手机断开wifi, 在 ...
: W5 a3 [9 w: J2 x3 e
IPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48
9 M6 ]7 e: y: G8 Z7 F7 A1 k2 a  z现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

" R( h. r* s% k* u5 ?3 t也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19+ b* G+ T( y5 v) ~6 D% a7 m
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.8 b7 s5 p& x: {5 y7 H) h- h; j
2. 手机断开wifi, 在 ...
8 Y  H& |4 f, Y* p
好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:43" }6 Q8 Y) B, e! D6 C1 Q! N
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

9 @% j$ }' {1 `, S, p( l' W是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:43" g7 a  ^% U$ ?; b
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
& C8 t8 Q' k( A5 C* x& {4 x. ?
如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑 1 U/ n  q0 |& D7 b$ s% Y6 }4 J
伯威 发表于 2023-12-22 18:41
$ L% T% r( n% s) Y如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...
9 K& y# L# Z& f9 R

2 r/ U: Z! W9 e5 t0 J+ G0 k% v怎么查呢?' ]4 u9 O) E" }
) |, L1 Y+ r6 R, p
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:484 N6 X% f1 z0 M& Q4 F; W
怎么查呢?
5 r* y+ }9 n# z2 B/ a
. \0 V! S4 I+ G+ M6 s# Q我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...
1 d+ H* k. n! h8 M$ U8 l1 y
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。
4 A+ B4 I' v( c走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30
  ^; h/ R% w7 v0 A% X) {# F  w前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...

- f0 K; j# c- g+ B' \7 o) C听了诸位大拿的话,突然定心了很多。; x8 d' u) |& b: v& S' c
4 V: w8 ^% P, G% ?
想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
& R/ i; c0 D* \9 w. _1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.! E4 b. |; r: G7 f
2. 手机断开wifi, 在 ...
6 u0 q9 k8 r( _6 C7 t# a
我还加一个:
8 W! v9 E4 g* W把Ping的应答给关闭掉
7 E* n& e9 O1 G% ]) g) L
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46
3 g9 N! m! P. s4 [5 W  q* t5 d" e还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...
& G7 a( M; V4 n! m
这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:454 D8 P4 b; ^* d+ I$ `# Y# v/ W
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
; y* y) n8 O2 T8 u
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:06
- s: l% w8 e4 H4 z( S游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
) {* J' J- l: \
不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:55: {4 y) F% E9 V$ x+ z
不会的

+ v% E! \0 R, O1 k$ p这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:432 [  q& B% z8 U. p+ A
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

3 U6 \" D; H/ O) G9 ^0 U* y$ T0 G, U* [嗯,剩下的一般人也搞不定。那是FBI的事儿了。



欢迎光临 爱吱声 (http://aswetalk.net/bbs/) Powered by Discuz! X3.2