家里如何建防火墙

晨枫

万能的爱坛啊，又要来请教了：
, W' U& G- P: y! D
倒是没有过硬盘被劫持的惨痛经历，但家里装了NAS，总是担心是不是有一天会被黑。

要是建一道防火墙，hub放在墙后，可能会安全一点？
# s& E. U0 w$ }# o" A( a
- Q% a9 F! q* f; \$ [9 W怎么弄呢？
* Y/ J6 }) }  \  t2 E/ C
# G" ]8 r, o; J1 H! ~, d1 J! f现在是ISP（Rogers、Telus之类）的modem-router自带ethernet口，一器两用，闭着眼睛当做安全了。这够用吗？

密银

现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

数值分析

我也没防火墙，如果搞得话，弄个linux盒子，开iptables，应该就可以了。

雨楼

1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能，你需要进router里面，把外网访问（通常为端口80）关掉。 如果不能，大概率你是安全的。
6 ~: E0 {4 k* \6 _5 |2 u# }3. 同样，测试一下端口22, 这个需要用telenet/ssh 软件，自己放狗搜。通常默认是关闭的。
4 C4 U# d) w: y  N$ ^* d1 \4. 确认 NAS的 私有云 是关掉的。
/ Z5 i! M- I6 J- c  ~4 E# X  d; G
5. 进阶项目： 查看router的防火墙设置。确认没有可疑的端口转发（port forwarding)。默认出厂是没有任何端口转发的。
8 N, N# G  ^/ f' e- r6 [& k
基本上这几点做到了，你就比99%的用户安全了。

# k/ y% [8 \, L/ W/ y$ p# c
$ w2 V0 j/ V+ t0 u$ ^: T; Y) `过于敏感的东西，就不要放到联网的设备上了。

赫然

雨楼 发表于 2023-12-22 14:19
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

% D9 q$ F8 p7 N5 w7 XIPv6不安全么？

晨枫

密银 发表于 2023-12-22 11:48
* e6 Q9 y3 k" b. L. N- h) N2 V* e现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

晨枫

雨楼 发表于 2023-12-22 13:19
; _2 k, g0 B4 K0 g" M$ U- K1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

好像技术很深奥的样子，我试试看。多谢了

密银

晨枫 发表于 2023-12-23 07:43
也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

是的,所以social engineering 才重要

伯威

晨枫 发表于 2023-12-23 07:43
也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。

晨枫

; K- S5 [5 D$ z$ q  S8 X

伯威 发表于 2023-12-22 18:41
如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。 ...

0 m6 I7 A. N7 m! \/ D% a
怎么查呢？

我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。

伯威

晨枫 发表于 2023-12-23 08:48
& r3 P7 S. H2 {5 y, v怎么查呢？
* L+ [" Z. v$ p/ t, c1 o6 w8 ~
. z+ B4 y, W* C* Y6 j我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。 ...

: [6 Q; [* S- j, k7 K% Z/ q前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧。路由器的端口设置，你可以在路由器的配置网页上看到。
走IPV6的话，理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了，可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的，虽然关了可能更安全。

晨枫

伯威 发表于 2023-12-22 19:30
, o) q( ~! j9 K  m4 ~前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧 ...

$ Z3 i) V  }/ Y/ c$ z听了诸位大拿的话，突然定心了很多。
' a; S" H* F% k
3 o2 P# ]# v) a) E  m* y/ p想想也对，家用路由器一般没有理由对外开放端口，这又不是工业设备，需要有远程支持。

东湖珞珈

雨楼 发表于 2023-12-23 03:19
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
  g: g. p  @7 Y: D! y2. 手机断开wifi, 在 ...

我还加一个：
把Ping的应答给关闭掉
6 q. r8 V4 ]" m8 N- ?8 A8 |

straw

还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。

晨枫

straw 发表于 2023-12-22 21:46
1 v8 D$ c" S( y3 j4 Y还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自 ...

这是什么东西？需要关掉吗？

straw

路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

晨枫

straw 发表于 2023-12-23 00:45
, O! x  }8 d$ Q/ ]# p' K& x路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

straw

晨枫 发表于 2023-12-23 21:06
游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

6 O) p* ]/ O, T不会的        

晨枫

straw 发表于 2023-12-23 07:55
9 D' q1 J& G2 {) _1 V) L' y' d  b不会的

7 u% {" \& L$ a/ C5 t; p: K这就放心了。

雨楼

晨枫 发表于 2023-12-22 18:43
" o) x' i) \$ ^5 Y( O0 j: U$ U也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

* N' o/ u5 j; P7 p3 \( R- S/ |嗯，剩下的一般人也搞不定。那是FBI的事儿了。