家里如何建防火墙

晨枫

万能的爱坛啊，又要来请教了：

倒是没有过硬盘被劫持的惨痛经历，但家里装了NAS，总是担心是不是有一天会被黑。

7 b0 ?) M2 c: b8 T要是建一道防火墙，hub放在墙后，可能会安全一点？

怎么弄呢？
( M- d9 w+ b- n. G; z
5 u0 C% H0 k+ L7 e: |* B: [; s现在是ISP（Rogers、Telus之类）的modem-router自带ethernet口，一器两用，闭着眼睛当做安全了。这够用吗？

密银

现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

数值分析

我也没防火墙，如果搞得话，弄个linux盒子，开iptables，应该就可以了。

雨楼

$ ^" B: K& e  @) @0 @7 M& C" B
1 h8 n7 |  V, X2 A* S! a1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
2. 手机断开wifi, 在浏览器里输入你的公网IP,看看能不能访问你家的router. 如果能，你需要进router里面，把外网访问（通常为端口80）关掉。 如果不能，大概率你是安全的。
4 u' N  {( T( `- _* M( X$ O% [0 d- k3. 同样，测试一下端口22, 这个需要用telenet/ssh 软件，自己放狗搜。通常默认是关闭的。
1 K/ t4 i( y, p9 V: o  P4 X9 H4. 确认 NAS的 私有云 是关掉的。
; g3 ^. q. A+ y8 u
5. 进阶项目： 查看router的防火墙设置。确认没有可疑的端口转发（port forwarding)。默认出厂是没有任何端口转发的。
- c# Q$ }& Y# Q5 P  k! g
7 J% c$ k7 z! ]1 P. t9 N, b2 E基本上这几点做到了，你就比99%的用户安全了。
( [  c6 v" a) z8 |% h
5 U/ j0 U4 ~5 A* ~# H( V/ l. Y
过于敏感的东西，就不要放到联网的设备上了。

赫然

雨楼 发表于 2023-12-22 14:19
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
, p! ?8 R& `, {1 x7 }$ ?2. 手机断开wifi, 在 ...

IPv6不安全么？

晨枫

密银 发表于 2023-12-22 11:48
2 \. l: j# A  m# X. W% c现在大部分router默认对外端口全关,家庭网络安全主要还是防内贼

也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

晨枫

雨楼 发表于 2023-12-22 13:19
1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
! g8 F3 s! j( _) H3 ^$ F" @2. 手机断开wifi, 在 ...

  G0 f# [9 D' g好像技术很深奥的样子，我试试看。多谢了

密银

晨枫 发表于 2023-12-23 07:43
7 \# X+ I( t  }! D  @: O也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

" X# d% K& P) \! g: u) L3 q4 x3 y$ d是的,所以social engineering 才重要

伯威

晨枫 发表于 2023-12-23 07:43
5 l- c1 J( e4 c6 y9 X, Q  D/ B" }也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

. h0 Y$ J/ u  m2 S& D- c如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。

晨枫

; N9 X7 D3 j. g, h& n; ^

伯威 发表于 2023-12-22 18:41
如果你的NAS不能从公网访问，一般不太会出问题。如果能，那就盯牢开放的端口，扎紧篱笆。 ...

怎么查呢？
6 G) u# w- l8 A' v! U) H9 L
我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。

伯威

晨枫 发表于 2023-12-23 08:48
: z1 S/ w$ k, J. x* Z5 A怎么查呢？

7 U" I6 q1 ~# J. g4 d1 k我的理论上有这个选项，从来没有开启过，也没有从公网上过。只在家里私网上过。 ...

前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧。路由器的端口设置，你可以在路由器的配置网页上看到。
0 T6 [& a8 K/ e9 i2 y  u走IPV6的话，理论上是有可能。但好像没听说过谁家因为开着IPV6导致被黑了，可能是俺孤陋寡闻。反正俺一般路由器IPV6是不关的，虽然关了可能更安全。

晨枫

伯威 发表于 2023-12-22 19:30
& ?& n9 O- b$ Q; N$ N0 x  j* l前面有网友提过，家用路由器的外部访问端口缺省是关闭的，所以既然你没用过，那一般外面是进不来的，无忧 ...

& l6 E; u1 _% _% Q2 p听了诸位大拿的话，突然定心了很多。

想想也对，家用路由器一般没有理由对外开放端口，这又不是工业设备，需要有远程支持。

东湖珞珈

雨楼 发表于 2023-12-23 03:19
% T; g1 P' ^' I2 t' d6 b" ~7 ?1. 在家里放狗 your IP, 会带你到 https://whatismyipaddress.com/  记下你的公网ip.
3 e$ P/ J3 M4 \# V2. 手机断开wifi, 在 ...

我还加一个：
% l1 B* v7 G4 d把Ping的应答给关闭掉
; \$ U2 X1 S" V

straw

还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自动在路由器上注册转发端口。

晨枫

straw 发表于 2023-12-22 21:46
还有一个，要注意upnp, 这个可以帮你在路由器上自动注册转发端口，提升某些软件的访问性能。不少软件可以自 ...

7 R3 h% }4 Y  A9 W) s这是什么东西？需要关掉吗？

straw

路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

晨枫

straw 发表于 2023-12-23 00:45
路由器里可以关闭，但是有些p2p软件和游戏软件用起来就慢了

- i4 Q: p( p1 b) e( s4 e游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

straw

晨枫 发表于 2023-12-23 21:06
游戏不是问题，P2P软件的话，爱坛、观网、微信这些会慢吗？

7 Q/ l1 [; G% Q3 y6 N9 e不会的        

晨枫

straw 发表于 2023-12-23 07:55
7 \' h& b! W8 L. `+ I" n不会的

) {( t% W; S  y" b  l7 I这就放心了。

雨楼

晨枫 发表于 2023-12-22 18:43
( [2 z# m' P& b' b) f也就是说，所有设备挂在router上，只要不中phishing的毒，就问题不大？

8 M& G9 l3 b% ?& j* P6 L( X! k嗯，剩下的一般人也搞不定。那是FBI的事儿了。