家庭前置防护(DMZ)

102 天前
NevadaLi  NevadaLi
之前都喜欢桥接+PPPOE ,现在租房小区只有二级运营商,本来觉得不能暴露端口有些膈应,但近期发现更喜欢让光猫拨号,这样算是多了一层保护,并且内网是内网,整套网络即便更换 isp ,任何配置都不需要修改,即插即用,不怕内网端口暴露。

遂产生疑问,要部署哪些服务作为整个家庭网络的前置( DMZ )?
已知:Adguard Home
1505 次点击
所在节点   问与答  问与答
18 条回复
H97794
H97794
102 天前
说的路由器没防火墙一样
DMZ 差不多已经是旧时代的东西了
Adguard Home:??? 别瞎说呀...
ltyj2003
ltyj2003
102 天前
光猫拨号还能 UPnP 吗?
itskingname
itskingname
102 天前
光猫的路由功能很弱。如果你让光猫拨号,你自己的路由器使用桥接,那么你自己的路由器基本上就是个摆设,所有网络压力都在光猫上面。设备数量一多,或者网络流量一大,就会卡、不稳定。
NevadaLi
NevadaLi
102 天前
@H97794 #1 我是说功能上堪比 DMZ ,DMZ 是作为整个网络前置的存在,同样我也是要实现类似的功能。

路由器当然有防火墙,不然怎么配置各种路由和转发。

但现在的问题是这些基础功能不够用啊,dns 泄露+广告过滤(整个内网层面的),端口被 upnp 打开,这些都是上古时代所没有面临的。
NevadaLi
NevadaLi
102 天前
@ltyj2003 #2 不用 upnp 了,没有这个需求了,已经没什么需要让我从外面访问家里了,如果有个人数据要访问,我会放在我四五个 vps 上的(对,我 vps 有十来个,剩下的五六个是 fq 用的,不是钱多,纯属战略失误。。)
NevadaLi
NevadaLi
102 天前
@itskingname #3 光猫拨号和路由器桥接互斥,pppoe 由光猫完成,路由器使用的 lan 口直接 dhcp 获取
H97794
H97794
102 天前
@NevadaLi #4 你是在内网,还是外网连回家里?
描述比较乱,有点难理解.
瞎说一下,外网回家里(VPN,WireGuard....) ,变成内网了, dns 解析 分流 规则 等,走内网的 主路由或者旁路由
Od37v61n5s89gXx8
Od37v61n5s89gXx8
102 天前
除了多一跳,网络性能还要受光猫性能影响外,没有看到任何收益啊
zhaidoudou123
zhaidoudou123
102 天前
这样算是多了一层保护,并且内网是内网,整套网络即便更换 isp ,任何配置都不需要修改,即插即用,不怕内网端口暴露。

你用路由器拨号不是一样嘛?我没理解的
git00ll
git00ll
102 天前
我觉得没问题,不要小瞧了运营商光猫,给的千兆光猫真的能跑满前兆的
lionest1229
lionest1229
102 天前
现在光猫性能不比一般路由差,而且改桥接运营商各种使绊子
moefishtang
moefishtang
102 天前
@itskingname 现在新光猫性能真没那么烂...
问题在于,有些地方发 N 手旧光猫...加上经常更新固件(加些插件,封锁漏洞啥的),性能就更捉急了
NevadaLi
NevadaLi
102 天前
@zhaidoudou123 #9 假设以下场景:

- 你的路由器支持 upnp ,内网部署了 emby 且允许了 upnp ,(无论由于什么原因,可能是你手抽/脑抽,无意中同意了 emby 使用 upnp ,也可能是你测试完忘了关),此时你的 emby 暴露在了互联网,任何人都可以访问你的 emby ,希望你的用户名密码足够强大。

- 你的舍友/孩子/亲戚/隔壁的加菲猫/楼上的巫师婆婆在你家造了个桥接的 openwrt vm ,上面有 clash ,aria ,开启了共享,并且第三方 openwrt 贴心的为你开启了 upnp 方便远程管理,此时你的 clash 可以被扫到,结合之前的默认密码漏洞,所有人都能用你小猫咪了,还有热心的网友帮你远程下载各种小电影,妈妈再也不用担心你的学习。

- 你用 pve 启动了一台开发机,开了个口子,让远在巴基斯坦的史努比可以暂时 ssh 到机器/访问你炫酷的前端/中转文件/一起开发代码,用完后你舒服的关闭了机器。千年以后,另一台 pve 虚拟机上线并成功的拿到了原有 ip ,此时你在家用来看小黄片的页面暴露在了公网。

- 你是一名忠实的爱优腾迅雷用户,某天你被皮卡丘告知 由于您违规使用 pcdn ,上传流量严重超标,现对你家庭宽带暂停服务。我:????

- 你是一名充满好奇心的天线宝宝,什么服务都想试试,某天 你部署了来自召唤师峡谷的神秘服务,该服务还有个神秘礼品,——它可以自己开 ssh 口子,让你变成一台肉鸡。一觉醒来,发现自己成了 lol 某场战局里的大头兵。

以上场景,除了史努比防不住,其他都可以被双重 nat 挡下来,一切只是因为你懒得将光猫改桥接。
NevadaLi
NevadaLi
102 天前
@zhaidoudou123 #9 再加一条,如果你用了桥接,isp 更改后你需要在拨号页面修改账号密码。如果是光猫拨号,即插即用,dhcp 自动下发 ip 。
NevadaLi
NevadaLi
102 天前
@H97794 #7 和回不回家里/翻墙没有任何关系,只是想要一个边界防火墙保护内网的安全,包括但不限于端口暴露,dns 泄露等,请往家庭审计的方向想(不是监控网络)。
zhaidoudou123
zhaidoudou123
102 天前
@NevadaLi
你把路由器 upnp 和端口映射关了不就得了…
你用光猫拨号加一层 nat ,本来 upnp 啥的也都用不了啊…
zhaidoudou123
102 天前
我还是没看懂你的需求,现在你光猫拨号,光猫也有 upnp 之类的功能,你又套了一层 nat 把所有方便的功能都给弄失效了,你硬说是省事了,不用去路由器手动关了,但是意义我不太能理解的。
另外,你搞 adguard home 和你前面说的换光猫拨号好像也没啥关系吧,你想用的话直接用就好了,光猫拨号还是路由器拨号都行呀
NevadaLi
102 天前
@zhaidoudou123 #16 参考 5 楼,没有这些需求了。

本来也和光猫拨号没有关系,前面只是背景。说明我为什么会有想要前置的想法。

这帖子楼歪了,怪我没说清楚。

转这里:

https://www.v2ex.com/t/1083131

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1082962

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX