家庭前置防护(DMZ)

63 天前
 NevadaLi
之前都喜欢桥接+PPPOE ,现在租房小区只有二级运营商,本来觉得不能暴露端口有些膈应,但近期发现更喜欢让光猫拨号,这样算是多了一层保护,并且内网是内网,整套网络即便更换 isp ,任何配置都不需要修改,即插即用,不怕内网端口暴露。

遂产生疑问,要部署哪些服务作为整个家庭网络的前置( DMZ )?
已知:Adguard Home
1437 次点击
所在节点    问与答
18 条回复
H97794
63 天前
说的路由器没防火墙一样
DMZ 差不多已经是旧时代的东西了
Adguard Home:??? 别瞎说呀...
ltyj2003
63 天前
光猫拨号还能 UPnP 吗?
itskingname
63 天前
光猫的路由功能很弱。如果你让光猫拨号,你自己的路由器使用桥接,那么你自己的路由器基本上就是个摆设,所有网络压力都在光猫上面。设备数量一多,或者网络流量一大,就会卡、不稳定。
NevadaLi
63 天前
@H97794 #1 我是说功能上堪比 DMZ ,DMZ 是作为整个网络前置的存在,同样我也是要实现类似的功能。

路由器当然有防火墙,不然怎么配置各种路由和转发。

但现在的问题是这些基础功能不够用啊,dns 泄露+广告过滤(整个内网层面的),端口被 upnp 打开,这些都是上古时代所没有面临的。
NevadaLi
63 天前
@ltyj2003 #2 不用 upnp 了,没有这个需求了,已经没什么需要让我从外面访问家里了,如果有个人数据要访问,我会放在我四五个 vps 上的(对,我 vps 有十来个,剩下的五六个是 fq 用的,不是钱多,纯属战略失误。。)
NevadaLi
63 天前
@itskingname #3 光猫拨号和路由器桥接互斥,pppoe 由光猫完成,路由器使用的 lan 口直接 dhcp 获取
H97794
63 天前
@NevadaLi #4 你是在内网,还是外网连回家里?
描述比较乱,有点难理解.
瞎说一下,外网回家里(VPN,WireGuard....) ,变成内网了, dns 解析 分流 规则 等,走内网的 主路由或者旁路由
lxh1983
63 天前
除了多一跳,网络性能还要受光猫性能影响外,没有看到任何收益啊
zhaidoudou123
63 天前
这样算是多了一层保护,并且内网是内网,整套网络即便更换 isp ,任何配置都不需要修改,即插即用,不怕内网端口暴露。

你用路由器拨号不是一样嘛?我没理解的
git00ll
63 天前
我觉得没问题,不要小瞧了运营商光猫,给的千兆光猫真的能跑满前兆的
lionest1229
63 天前
现在光猫性能不比一般路由差,而且改桥接运营商各种使绊子
moefishtang
63 天前
@itskingname 现在新光猫性能真没那么烂...
问题在于,有些地方发 N 手旧光猫...加上经常更新固件(加些插件,封锁漏洞啥的),性能就更捉急了
NevadaLi
63 天前
@zhaidoudou123 #9 假设以下场景:

- 你的路由器支持 upnp ,内网部署了 emby 且允许了 upnp ,(无论由于什么原因,可能是你手抽/脑抽,无意中同意了 emby 使用 upnp ,也可能是你测试完忘了关),此时你的 emby 暴露在了互联网,任何人都可以访问你的 emby ,希望你的用户名密码足够强大。

- 你的舍友/孩子/亲戚/隔壁的加菲猫/楼上的巫师婆婆在你家造了个桥接的 openwrt vm ,上面有 clash ,aria ,开启了共享,并且第三方 openwrt 贴心的为你开启了 upnp 方便远程管理,此时你的 clash 可以被扫到,结合之前的默认密码漏洞,所有人都能用你小猫咪了,还有热心的网友帮你远程下载各种小电影,妈妈再也不用担心你的学习。

- 你用 pve 启动了一台开发机,开了个口子,让远在巴基斯坦的史努比可以暂时 ssh 到机器/访问你炫酷的前端/中转文件/一起开发代码,用完后你舒服的关闭了机器。千年以后,另一台 pve 虚拟机上线并成功的拿到了原有 ip ,此时你在家用来看小黄片的页面暴露在了公网。

- 你是一名忠实的爱优腾迅雷用户,某天你被皮卡丘告知 由于您违规使用 pcdn ,上传流量严重超标,现对你家庭宽带暂停服务。我:????

- 你是一名充满好奇心的天线宝宝,什么服务都想试试,某天 你部署了来自召唤师峡谷的神秘服务,该服务还有个神秘礼品,——它可以自己开 ssh 口子,让你变成一台肉鸡。一觉醒来,发现自己成了 lol 某场战局里的大头兵。

以上场景,除了史努比防不住,其他都可以被双重 nat 挡下来,一切只是因为你懒得将光猫改桥接。
NevadaLi
63 天前
@zhaidoudou123 #9 再加一条,如果你用了桥接,isp 更改后你需要在拨号页面修改账号密码。如果是光猫拨号,即插即用,dhcp 自动下发 ip 。
NevadaLi
63 天前
@H97794 #7 和回不回家里/翻墙没有任何关系,只是想要一个边界防火墙保护内网的安全,包括但不限于端口暴露,dns 泄露等,请往家庭审计的方向想(不是监控网络)。
zhaidoudou123
63 天前
@NevadaLi
你把路由器 upnp 和端口映射关了不就得了…
你用光猫拨号加一层 nat ,本来 upnp 啥的也都用不了啊…
zhaidoudou123
63 天前
我还是没看懂你的需求,现在你光猫拨号,光猫也有 upnp 之类的功能,你又套了一层 nat 把所有方便的功能都给弄失效了,你硬说是省事了,不用去路由器手动关了,但是意义我不太能理解的。
另外,你搞 adguard home 和你前面说的换光猫拨号好像也没啥关系吧,你想用的话直接用就好了,光猫拨号还是路由器拨号都行呀
NevadaLi
62 天前
@zhaidoudou123 #16 参考 5 楼,没有这些需求了。

本来也和光猫拨号没有关系,前面只是背景。说明我为什么会有想要前置的想法。

这帖子楼歪了,怪我没说清楚。

转这里:

https://www.v2ex.com/t/1083131

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1082962

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX