爱吱声

标题: 家里如何建防火墙 [打印本页]

作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:! H( V1 m, `2 B! h
" R/ z& ?+ I9 ?/ \/ Y
倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。6 Y$ h# g& k" C% n9 j* z- i
8 @# l* P/ n$ T( e
要是建一道防火墙,hub放在墙后,可能会安全一点?4 o0 z; y3 N6 s; I

1 o8 z- P0 C. [1 x$ P" G( w$ L怎么弄呢?9 w+ ^0 x) ~. {% J; q5 O5 Q( L
- }1 s) ]- e, ^4 q
现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑 % h# F4 V5 G3 N& ^5 C

% C" Q# D4 \  B! Z# I- r5 M1 a1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip., l! h! ^# A8 Z2 M. C
2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。
$ [( n: V& F# T/ |  j3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。4 c! N. a' B5 L' U
4. 确认 NAS的 私有云 是关掉的。$ p& b- `$ L1 f* {- H( b

8 O1 B: Q1 D! o% y3 H$ s5 \- J5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。
( n5 y# B) g# X
% P, \* K$ s. N) F- H5 V0 P基本上这几点做到了,你就比99%的用户安全了。. \7 o) B8 M$ x, ^, x4 B0 h

) ~& |2 K# V* m" L" P8 h% Z
' j* G: {3 _' C7 o& U! F过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19: D& B& F9 W0 i- c* \
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
& R% O! O( T( ]2. 手机断开wifi, 在 ...
5 Y7 C8 I4 D3 P4 \8 P
IPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:480 ^7 K  d3 k7 l- y0 m
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

$ r- I8 y, P) e9 d9 u4 N也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19
3 ^2 G* ?: ]3 L0 @7 ?& \8 c1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.( Q! u( h4 Q% Q% F& Z1 I
2. 手机断开wifi, 在 ...

! K2 r9 E) E. M* A) T1 z1 r1 J! p好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:438 z+ f5 w+ t2 V+ l' T
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
- O0 s  r3 W7 ^
是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:437 U% a. x( k: c) q1 W8 k
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
4 ^. k3 l, Q" [: D+ P
如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑
$ g; h( J- |6 Z# z6 D5 I0 J! {0 w
伯威 发表于 2023-12-22 18:41  j- H4 Q6 G( e+ Z
如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...
" [% c8 q! ?& J  @$ _

. z% y& p# l2 x4 T4 o# I  N9 d怎么查呢?0 V) n# Q' l# ]; ~/ u

3 w. e; b6 X0 q! x* ]' P我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48+ b1 _5 }) ?4 u0 w3 }. }) P* ?9 v
怎么查呢?
9 M( v$ N# B: n8 y8 q- O5 K' X1 x, M" V: r* y
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...

* j3 Z- q# g! l( k4 C: Y前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。
$ j7 D& n. e" R走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30
# y2 j; R- O+ c* b1 q2 Q前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...
" }5 o9 K' N9 E0 i
听了诸位大拿的话,突然定心了很多。
/ _; o4 G. ]- I& h# a# ^8 M7 D; L3 B  n, j( W2 \; w
想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
% p- c: c* {( w; v1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.- N! C" I7 P% k; ]; U: u1 z
2. 手机断开wifi, 在 ...

$ g% h4 ^" F4 [3 H/ k6 Z+ e+ n我还加一个:
( c: T+ `3 O* z3 Q/ L把Ping的应答给关闭掉
0 e+ k8 A& b+ `, N, l& h9 L
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46- E2 s$ B4 c) s) x$ |
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...

4 \9 A2 p3 n( p5 x# x& j# Q这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:456 c# }- a9 m: g9 U) ]
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了

4 c2 G- `3 M: t游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:06) i; \3 W, c4 \; ^
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?

3 Y- L! L7 G$ u3 U不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:550 Z8 Z8 F/ `! W3 |' L& i  z# F( C7 D2 D8 O
不会的

) [' w9 p5 `, \这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:434 D8 ?1 D5 N0 Q+ T  t
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
, z9 U: @* ~/ S% o
嗯,剩下的一般人也搞不定。那是FBI的事儿了。




欢迎光临 爱吱声 (http://aswetalk.net/bbs/) Powered by Discuz! X3.2