爱吱声

标题: 家里如何建防火墙 [打印本页]
作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:
( L* _5 d# Q# M- B6 A  {1 g: Z1 q5 w# H& c0 R" S
倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。8 |, X1 g; s! ^/ O$ G0 ^

1 W" _4 \% n4 {9 S9 Y# L$ b要是建一道防火墙,hub放在墙后,可能会安全一点?( L/ `: }* W+ M4 B
1 c: G  x. S# b2 i
怎么弄呢?
8 x2 Y, X2 f8 Y4 H% {
. Z7 ]% h( U2 b5 I9 b$ {3 ^3 ?现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑
% G& N/ w: J3 M6 D
; q6 h* I$ z+ U1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
0 e3 Y0 i1 w  K2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。
" ]" d- q9 P3 s; ]3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。
* X$ H" }5 ]1 S: D* x4. 确认 NAS的 私有云 是关掉的。6 [/ l1 a6 E4 T" [9 N3 G5 ^5 X1 I9 N
4 J6 k$ ]8 t, z( U. B5 ?
5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。- e, a( ^+ m/ j* L$ l
5 ~' }+ [' _2 `& b
基本上这几点做到了,你就比99%的用户安全了。
: D0 X# ]* k$ V9 p, {9 i: b3 B; l4 i3 R; c' D* G& L

0 r1 p2 A6 a* D$ D  ]. H- ^过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19  _* L) }' k9 H+ b1 B' {8 s
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.- {7 r( Q& q6 T7 ^2 E( u
2. 手机断开wifi, 在 ...

: [' O, u, {+ pIPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48# _* t' C3 F9 Z: `
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

. g9 D  x! d" h# I, a也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:19
* S2 o% q6 y- ~% O& [& E0 `1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
& L9 d0 x) m# u3 [" K7 D2 j2 l: Y( L8 s2. 手机断开wifi, 在 ...
# _! }' J0 l, u
好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:43" W. l3 k: x" B& e
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
7 R* @2 I+ F3 a" ?- i
是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:436 B4 g# U/ G+ N% Z, P
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
7 H" {- d- R; p: W* t, Q) S  A5 i
如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑 ! d8 x% V0 T% L% Q, y* F) `3 Q* I
伯威 发表于 2023-12-22 18:41
; P% ?9 T- e3 L  n. o1 A如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...
2 p, L: r6 H  G! z% Y2 |

5 x5 _) ^" @# g: H5 D8 k怎么查呢?
7 X" X1 a8 n! T4 }2 J! Q2 E* D3 N$ o; J+ M
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48
( ^* N$ j" e' D% ]( z1 j8 W怎么查呢?5 h5 u3 l7 g2 Y# z3 P6 u6 f: m
8 B7 f5 m5 w5 g7 ^/ c% X$ U
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...
* A+ C* r) q7 E. @9 ^" o" Y
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。0 ]% k' c. L1 ~% n
走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30
: F. D: r* e2 I+ t2 J6 O" |' W前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...
. c/ a' K, z. L" e  g2 r
听了诸位大拿的话,突然定心了很多。
) a6 }$ V; k5 b. m  n8 l/ u% ~/ k4 b
想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
2 w. N- D8 n( p% h8 Z$ |+ }! U6 a1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
7 D4 n& D5 X; B  W2. 手机断开wifi, 在 ...

) s$ N$ f3 i. c. R我还加一个:7 K/ }2 I1 U& i9 m: l+ b. V
把Ping的应答给关闭掉( x( i2 C8 w1 H7 u" z* D
作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46
4 F9 @; t% S; U8 e1 b还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...
2 \# t7 x9 a2 _6 t  o% f. m
这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:455 u" |7 b+ l9 Y: j, C
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了

% J5 P" V1 {5 V0 W  s; q; q游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:064 W$ A5 R. O9 O" ]; O$ g
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?

8 I+ B. z; R7 e. f不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:55* b; ~0 m$ l& E" R0 Y7 J
不会的
# ^: `# r$ s- z& c8 J4 J1 D
这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:43
7 q5 T5 V' Q1 k/ q0 d  G也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
% @) o3 |8 q! J4 m/ E
嗯,剩下的一般人也搞不定。那是FBI的事儿了。



欢迎光临 爱吱声 (http://www.aswetalk.net/bbs/) Powered by Discuz! X3.2