家里如何建防火墙

晨枫

万能的爱坛啊，又要来请教了：
3 R- d; L( P5 I
2 P* w7 F: e2 q: A" p倒是没有过硬盘被劫持的惨痛经历，但家里装了NAS，总是担心是不是有一天会被黑。
- T  X7 Z* A: W7 R
! S8 X# v& @6 g0 B要是建一道防火墙，hub放在墙后，可能会安全一点？

怎么弄呢？
( B' i) x# l3 d9 e7 g5 H" j* V- w
7 U" i. ~5 W3 T& _. I1 M现在是ISP（Rogers、Telus之类）的modem-router自带ethernet口，一器两用，闭着眼睛当做安全了。这够用吗？

密银

现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

数值分析

我也没防火墙，如果搞得话，弄个linux盒子，开iptables，应该就可以了。

雨楼

4 f$ ^, J! y$ L2 ~, b; F1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
( V. ?# F2 f( H. g- a8 ~2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能，你需要进router里面，把外网访问（通常为端口80）关掉。 如果不能，大概率你是安全的。
3. 同样，测试一下端口22, 这个需要用telenet/ssh 软件，自己放狗搜。通常默认是关闭的。
% \2 C7 d/ z/ S3 M9 O6 e" |4. 确认 NAS的 私有云 是关掉的。
+ Q) e5 V( ?) ]! E  r
7 u2 W3 q' |* W# s8 ~- C5. 进阶项目： 查看router的防火墙设置。确认没有可疑的端口转发（port forwarding)。默认出厂是没有任何端口转发的。
# m3 L: A3 Q+ L* s
  ?* ~& ~9 p: A# W4 q1 |' X! H基本上这几点做到了，你就比99%的用户安全了。
* z* w- L8 J) G! y* t) m) x( i- r
3 u' A" z( M- V
& o  ^- }( H' j8 n2 b/ i* N过于敏感的东西，就不要放到联网的设备上了。

赫然

雨楼 发表于 2023-12-22 14:19
: }# m: X; s% h1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

IPv6不安全么？

晨枫

密银 发表于 2023-12-22 11:48
3 k7 e3 `2 j: v; l* ^% c7 A现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

晨枫

雨楼 发表于 2023-12-22 13:19
, P% Q- f( C0 _6 Y1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

  R( S/ X( B/ I7 w# n8 s好像技术很深奥的样子，我试试看。多谢了

密银

晨枫 发表于 2023-12-23 07:43
也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

7 ]- f# O0 D1 |. N* k/ h是的,所以social engineering 才重要

伯威

晨枫 发表于 2023-12-23 07:43
也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。

晨枫

伯威 发表于 2023-12-22 18:41
5 C! J7 K( N  N如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。 ...

% ^2 V" [1 H$ X, g1 o6 {* d% q- I
5 B1 f* g( t: F$ p& g3 l  ^9 l5 w怎么查呢？
1 a+ t% f6 m- a3 A. l) D, k$ U' @; E0 f& q
我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。

伯威

晨枫 发表于 2023-12-23 08:48
怎么查呢？
, p; x$ _. G' k5 \6 t! ?
( f- U% O6 P" L5 V( B3 h我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。 ...

% w- M. f- X$ O! P前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧。路由器的端口设置，你可以在路由器的配置网页上看到。
3 o' {+ ^$ H1 t; v7 y, `" ~! c走IPV6的话，理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了，可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的，虽然关了可能更安全。

晨枫

伯威 发表于 2023-12-22 19:30
前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧 ...

听了诸位大拿的话，突然定心了很多。

; K* L0 [3 w' {0 ^想想也对，家用路由器一般没有理由对外开放端口，这又不是工业设备，需要有远程支持。

东湖珞珈

雨楼 发表于 2023-12-23 03:19
- H4 q3 F; z" j. o# Q1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
: M/ I/ R) J' W/ q$ h/ w. N6 F/ n2. 手机断开wifi, 在 ...

我还加一个：
9 i* n( s" [" t3 z把Ping的应答给关闭掉
) p' w0 f7 W2 V1 m

straw

还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。

晨枫

straw 发表于 2023-12-22 21:46
还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自 ...

. E4 {$ k, }0 v( u% R; J% }# U/ I5 z这是什么东西？需要关掉吗？

straw

路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

晨枫

straw 发表于 2023-12-23 00:45
路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

/ H4 t2 [: v6 I4 u游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

straw

晨枫 发表于 2023-12-23 21:06
游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

2 [# _/ f) ]; E  W9 ^% X6 n不会的        

晨枫

straw 发表于 2023-12-23 07:55
; a( h% t8 ?( O  I8 H不会的

这就放心了。

雨楼

晨枫 发表于 2023-12-22 18:43
也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

9 ?6 u4 U5 x8 p% w6 F% x+ a嗯，剩下的一般人也搞不定。那是FBI的事儿了。