家里如何建防火墙

晨枫

万能的爱坛啊，又要来请教了：
) |1 `* u6 B- O( ]' b- Z
倒是没有过硬盘被劫持的惨痛经历，但家里装了NAS，总是担心是不是有一天会被黑。

6 Q  y/ N5 E! @8 A1 w7 Z2 B要是建一道防火墙，hub放在墙后，可能会安全一点？
- e, C7 g; P, X3 u- ~5 C
8 f$ t8 ~4 T  w( G怎么弄呢？
1 z7 A- \3 s2 z& e4 V. X- A+ V$ E% Y
; Z+ H. j( A# _  n, Y2 B+ |现在是ISP（Rogers、Telus之类）的modem-router自带ethernet口，一器两用，闭着眼睛当做安全了。这够用吗？

密银

现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

数值分析

我也没防火墙，如果搞得话，弄个linux盒子，开iptables，应该就可以了。

雨楼

1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能，你需要进router里面，把外网访问（通常为端口80）关掉。 如果不能，大概率你是安全的。
3. 同样，测试一下端口22, 这个需要用telenet/ssh 软件，自己放狗搜。通常默认是关闭的。
( t. P. B' z3 e: O% I4. 确认 NAS的 私有云 是关掉的。
9 A$ _" ~6 s# C2 b  |# d
3 n: C- I' Z3 g5. 进阶项目： 查看router的防火墙设置。确认没有可疑的端口转发（port forwarding)。默认出厂是没有任何端口转发的。

基本上这几点做到了，你就比99%的用户安全了。
# E2 o( ~: Y* y! m/ h) \- _
3 k% K: k( k4 Q0 i& C# G3 p
过于敏感的东西，就不要放到联网的设备上了。

赫然

雨楼 发表于 2023-12-22 14:19
- e" y: w  _! D( Z# d1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

6 y+ A- @! |) e: E# D! ^; Q3 `IPv6不安全么？

晨枫

密银 发表于 2023-12-22 11:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

+ P0 P/ Q% y3 z$ B9 w4 s0 J5 b, D也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

晨枫

雨楼 发表于 2023-12-22 13:19
, ]1 Y. o+ L+ t! J, s2 V1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

好像技术很深奥的样子，我试试看。多谢了

密银

晨枫 发表于 2023-12-23 07:43
3 Q/ n* b, m3 I5 P( m3 m" F也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

是的,所以social engineering 才重要

伯威

晨枫 发表于 2023-12-23 07:43
) O5 Z. ~) D) R3 p" m) V: o也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

- o, U4 a" c# ^6 R9 L: P: d如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。

晨枫

6 d* F# ]/ n/ V- [, K. [  O2 R

伯威 发表于 2023-12-22 18:41
/ D+ j4 z% p4 Y3 j0 p# f$ d, g* `如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。 ...

怎么查呢？

我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。

伯威

晨枫 发表于 2023-12-23 08:48
怎么查呢？
- Z1 R2 m; o  \& e- z; `
7 @7 E- x3 U2 w: Z" j8 Q& y+ e我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。 ...

/ X7 i7 u; I2 ^1 C! |前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧。路由器的端口设置，你可以在路由器的配置网页上看到。
走IPV6的话，理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了，可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的，虽然关了可能更安全。

晨枫

伯威 发表于 2023-12-22 19:30
前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧 ...

  H; @; B2 S( C! E& @6 |1 P5 p- [听了诸位大拿的话，突然定心了很多。

想想也对，家用路由器一般没有理由对外开放端口，这又不是工业设备，需要有远程支持。

东湖珞珈

雨楼 发表于 2023-12-23 03:19
6 J/ F- p4 V2 M* c8 u) b1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在 ...

  A7 ?; K. T( m% |3 Q  F我还加一个：
( {6 L# c" Q) N/ L. G; j% B把Ping的应答给关闭掉
( I$ z( g. L+ X! M# r2 v& m8 S

straw

还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。

晨枫

straw 发表于 2023-12-22 21:46
. J7 R( U# Q" E5 I- b  |还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自 ...

! ?3 q' P, i  ]& Z' }$ Q3 m' W这是什么东西？需要关掉吗？

straw

路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

晨枫

straw 发表于 2023-12-23 00:45
, p! w5 y: c' ~- x路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

* J8 u1 ?4 X$ A. Y* i3 j* H游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

straw

晨枫 发表于 2023-12-23 21:06
游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

不会的        

晨枫

straw 发表于 2023-12-23 07:55
不会的

: S) A& @6 c2 f0 j4 J7 G这就放心了。

雨楼

晨枫 发表于 2023-12-22 18:43
  y8 M" D. P' j3 O! [$ n也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

; V0 z+ V! E1 f: E: w" k嗯，剩下的一般人也搞不定。那是FBI的事儿了。