爱吱声

标题: 家里如何建防火墙 [打印本页]

作者: 晨枫    时间: 2023-12-22 23:44
标题: 家里如何建防火墙
万能的爱坛啊,又要来请教了:
6 d" X2 v3 g2 `9 d' g4 Z  T' F& j) m6 _, B. R
倒是没有过硬盘被劫持的惨痛经历,但家里装了NAS,总是担心是不是有一天会被黑。
* g7 F' c3 j: P! t6 d" i1 I; x
' Z3 h9 D. j- `8 ]" L. s要是建一道防火墙,hub放在墙后,可能会安全一点?2 h2 G$ ?# B" {, ~
! I! l' J6 Z# Z2 I7 k9 S7 J
怎么弄呢?
1 b0 H! m' o* U
- J* X+ i2 f& d: U现在是ISP(Rogers、Telus之类)的modem-router自带ethernet口,一器两用,闭着眼睛当做安全了。这够用吗?
作者: 密银    时间: 2023-12-23 01:48
现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
作者: 数值分析    时间: 2023-12-23 02:41
我也没防火墙,如果搞得话,弄个linux盒子,开iptables,应该就可以了。
作者: 雨楼    时间: 2023-12-23 03:19
本帖最后由 雨楼 于 2023-12-22 14:20 编辑   {1 V0 H8 Z4 ?% L2 w/ ^7 Z- Y
3 m8 v$ B( O$ V! Q  p* j# e
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
. }5 _% R7 j& n* N3 F. R% _4 H3 _2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能,你需要进router里面,把外网访问(通常为端口80)关掉。 如果不能,大概率你是安全的。4 j' V: J7 w: F# C+ K
3. 同样,测试一下端口22, 这个需要用telenet/ssh 软件,自己放狗搜。通常默认是关闭的。' G7 v4 t5 E; a6 W
4. 确认 NAS的 私有云 是关掉的。
1 a( s! M9 \2 @; ?" n$ ^- C
2 x( H# F  \  E5. 进阶项目: 查看router的防火墙设置。确认没有可疑的端口转发(port forwarding)。默认出厂是没有任何端口转发的。1 }/ y9 v+ S  \4 v& I  d% A, p+ V

  q3 j( e0 x6 I* R0 Z基本上这几点做到了,你就比99%的用户安全了。  p, [5 h8 _. A; o" H' [$ G. ^" a
8 Y, @4 B  T. Q: e2 |$ ~. ?. Q0 N$ f, K
; c/ n6 O. }2 R- \) R
过于敏感的东西,就不要放到联网的设备上了。
作者: 赫然    时间: 2023-12-23 04:09
雨楼 发表于 2023-12-22 14:19" n$ A% L/ ~" F  ^0 f
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.' M- ?5 _5 J3 P% n
2. 手机断开wifi, 在 ...

8 Z' |, ^( ~+ o  h. G; |IPv6不安全么?
作者: 晨枫    时间: 2023-12-23 07:43
密银 发表于 2023-12-22 11:48
4 k  I! ?8 }/ i. e+ V现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼
$ [* ^) M8 X+ C
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
作者: 晨枫    时间: 2023-12-23 07:45
雨楼 发表于 2023-12-22 13:194 W+ t2 w8 G0 o9 m6 N5 o
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
- @* T( j0 A3 C! D4 ]) f# O9 U$ C) m2. 手机断开wifi, 在 ...

+ ?; ?2 y" X+ Z1 [, h, I& [好像技术很深奥的样子,我试试看。多谢了
作者: 密银    时间: 2023-12-23 08:35
晨枫 发表于 2023-12-23 07:43
3 z  _# \) P% z5 Y; U4 a也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
  o1 @: E% A$ F
是的,所以social engineering 才重要
作者: 伯威    时间: 2023-12-23 08:41
晨枫 发表于 2023-12-23 07:436 S1 l6 Z% |/ L7 F$ c7 Z) J% o
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?

/ x! I7 S6 D1 f& ]" W6 o" S如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。
作者: 晨枫    时间: 2023-12-23 08:48
本帖最后由 晨枫 于 2023-12-22 18:49 编辑
: G# f# o: k8 t4 o
伯威 发表于 2023-12-22 18:41
6 w" P; Z0 q3 A) S: R如果你的NAS不能从公网访问,一般不太会出问题。如果能,那就盯牢开放的端口,扎紧篱笆。 ...

- q; {, q- a: g( c$ V& q, G0 D
5 ~% S- i, _# s( [  C. h2 u2 J: Q怎么查呢?$ W* o- v7 r! ^8 J8 L! W

  B5 w2 l+ L! d/ r% f0 l我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。
作者: 伯威    时间: 2023-12-23 09:30
晨枫 发表于 2023-12-23 08:48
, I/ u! f2 a4 Z- s5 B2 h怎么查呢?
) S9 h: g3 z/ b+ Z, h4 P$ i# D  t' B% Q
我的理论上有这个选项,从来没有开启过,也没有从公网上过。只在家里私网上过。 ...
# l3 X! v- z; g8 k8 l6 z( i! k
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧。路由器的端口设置,你可以在路由器的配置网页上看到。6 H4 L' g8 N& t; A! `% u
走IPV6的话,理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了,可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的,虽然关了可能更安全。
作者: 晨枫    时间: 2023-12-23 10:17
伯威 发表于 2023-12-22 19:30) R4 k1 z- d/ ?3 Z# L
前面有网友提过,家用路由器的外部访问端口缺省是关闭的,所以既然你没用过,那一般外面是进不来的,无忧 ...

. y% w- G; m) D3 u  C& o. G0 X听了诸位大拿的话,突然定心了很多。
: A, d& a- S& |5 z9 X6 H7 R6 Z
想想也对,家用路由器一般没有理由对外开放端口,这又不是工业设备,需要有远程支持。
作者: 东湖珞珈    时间: 2023-12-23 11:00
雨楼 发表于 2023-12-23 03:19
( c" H% `7 I1 m8 ]- T$ J' @1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip." w2 Z& Z' }* u  f. Y
2. 手机断开wifi, 在 ...

* P4 C* W4 G+ ?# J: V$ W我还加一个:: }' m* ~) x) r) ~( o
把Ping的应答给关闭掉. Q$ z' U; c- ]

作者: straw    时间: 2023-12-23 11:46
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。
作者: 晨枫    时间: 2023-12-23 12:19
straw 发表于 2023-12-22 21:46( Q! W% n, J6 V, o
还有一个,要注意upnp, 这个可以帮你在路由器上自动注册转发端口,提升某些软件的访问性能。不少软件可以自 ...
& m) a! ?3 c3 t) o. g
这是什么东西?需要关掉吗?
作者: straw    时间: 2023-12-23 14:45
路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
作者: 晨枫    时间: 2023-12-23 21:06
straw 发表于 2023-12-23 00:45
' ?* U- j  u$ M! _路由器里可以关闭,但是有些p2p软件和游戏软件用起来就慢了
( y" Y* s. A( R5 [
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
作者: straw    时间: 2023-12-23 21:55
晨枫 发表于 2023-12-23 21:06- F; z2 C$ ~$ X8 q
游戏不是问题,P2P软件的话,爱坛、观网、微信这些会慢吗?
5 v/ X, c" v0 r
不会的        
作者: 晨枫    时间: 2023-12-23 21:59
straw 发表于 2023-12-23 07:55
4 H+ K8 V. v& ~8 t不会的
- I  V3 k; `; [3 @
这就放心了。
作者: 雨楼    时间: 2023-12-25 03:30
晨枫 发表于 2023-12-22 18:43+ s/ J* L- S4 V2 A8 L0 x
也就是说,所有设备挂在router上,只要不中phishing的毒,就问题不大?
8 F2 S6 L4 o. M# t" I* Q$ [
嗯,剩下的一般人也搞不定。那是FBI的事儿了。




欢迎光临 爱吱声 (http://www.aswetalk.net/bbs/) Powered by Discuz! X3.2