直接关了路由器的防火墙有没有安全问题

2022-02-19 19:52:49 +08:00
 ggp1ot2

为了能在外面用外网也能访问家里的群晖。

我将光猫改成桥接,路由器拨号上网,并且将路由器的防火墙关了。

这样可以用任意支持 ipv6 的设备通过 ipv6 地址访问 nas 管理页面。

但是这样有没有安全隐患,不是指 nas 的安全,因为登陆要两步验证,多次尝试失败还会封 ip 。

就是在目前,完全关闭自己路由器的防火墙会不会让别人破解登陆自己的路由器或者其他的端口什么的。

PS:我的路由器不支持 ssh 登陆,后台貌似也不支持单独放开几个端口,只有一个全局防火墙的开关,打开防火墙的话,外网就没法访问 ipv6 ,只有关了才行

6616 次点击
所在节点    宽带症候群
40 条回复
Buges
2022-02-19 20:03:06 +08:00
你不会单独为你的 nas 放行吗?
完全关掉防火墙,你所有设备暴露的内网服务全部暴露在公网上,你自己想想有没有安全问题。
ggp1ot2
2022-02-19 20:11:20 +08:00
@Buges #1 想过只放开 nas 端口,但是奈何路由器不支持啊,路由器是华为 TC7102 ,搜了一圈没有能 ssh 连接上路由器的教程,官方后台管理也只有一个全局的防火墙开关。。。

就是感觉现在全部设备都暴露在公网上,感觉有点害怕,估计要买个新的路由器了
ggp1ot2
2022-02-19 20:17:58 +08:00
家里就一个 nas 、电视、和几台手机
chotow
2022-02-19 20:28:02 +08:00
搜到了华为官方的端口映射文档,适用产品里有 TC7102 ,楼主看看有没有用:
https://consumer.huawei.com/cn/support/content/zh-cn01054483/
如果没有 IPv4 公网地址,我觉得关闭防火墙的安全问题不大; IPv6 地址海量,入侵你的内网付出的代价太大。个人拙见,望抛砖引玉。
Buges
2022-02-19 20:32:08 +08:00
@ggp1ot2 换路由,或者加一个透明桥( bridge firewall )。
@chotow 恰恰相反,即使有公网 ipv4 也没什么,有 nat 的保护。而 ipv6 是实打实的暴露在公网上。地址段庞大确实可以抗扫描,但别忘了你的设备会主动建立出站连接的。
LnTrx
2022-02-19 20:35:08 +08:00
IPv6 是 SLAAC 的话内网设备风险不大,至于路由器本身可以扫一下看看有没有开放的端口
ggp1ot2
2022-02-19 20:35:59 +08:00
@chotow #4 感谢,您的意思是,不用关掉防火墙,用端口转发可以实现外网访问内部端口?
xarthur
2022-02-19 20:36:41 +08:00
IPv6 暴露在公网上不代表前面就没有防火墙啊
ggp1ot2
2022-02-19 20:38:10 +08:00
@Buges #5 感谢知道,我搜搜透明桥是什么。。其实本身也是程序员,搜了一圈评估了一下,自认为应该不会有什么问题,首先确定的是没有公网 ipv4 。ipv6 貌似扫描的成本比较大。。。最后我不知道。。最坏的结果,坏人能利用我的 ipv6 地址干嘛,挖矿?
ggp1ot2
2022-02-19 20:41:36 +08:00
@chotow #4 我的 nas 端口用的是 5000 ,我在后台打开防火墙,做端口转发,内部端口 5000 外部端口 5000 ,内网可以访问,外网就不行
ggp1ot2
2022-02-19 20:42:28 +08:00
@xarthur #8 神马意思,难道说运营商还有一道防火墙?
ggp1ot2
2022-02-19 20:43:46 +08:00
我个人理解,路由器直接给一个全局开关,没有屏蔽这个功能,应该是有信心不造成很严重的后果吧
LnTrx
2022-02-19 20:45:46 +08:00
@ggp1ot2 关键是 NAS 的安全配好,比如设好防火墙,或者配个证书用 HTTPS 连接。楼主家的其他设备,比如电视,它应该也不会没事去访问恶意网站,除了内网只有服务商和 ISP 知道它的公网 IPv6 。至于手机,现代操作系统的安全防护也足够了。毕竟手机连流量和公共 WIFI 的时候不可能再去装个防火墙。
Buges
2022-02-19 21:08:36 +08:00
@ggp1ot2 就是二层防火墙,对三层透明。
不一定要扫描,你的设备建立的出站连接也会暴露可达的 ipv6 地址。
利用你的 ipv6 当然是访问到你的设备。比如你内网的服务有漏洞、弱口令,或后门程序等。
ggp1ot2
2022-02-19 21:08:37 +08:00
@LnTrx #13 谢谢,那就放心了,不折腾了。。我也是这么想的,常用端口看了下 80 、443 什么的都打不开。。nas 肯定安全,两步验证+ip 白名单足够了。。家里电视手机想必没啥大问题。。。就算给他权限能干嘛呢😂
ggp1ot2
2022-02-19 21:11:10 +08:00
@Buges #14 [比如你内网的服务有漏洞、弱口令,或后门程序等。] ,大佬能再解释下漏洞或者后门程序的影响吗,比如一个案例?比如漏洞能干嘛,我家就一个小米电视,然后平时父母手机连 Wi-Fi 。。。
xarthur
2022-02-19 22:07:09 +08:00
@ggp1ot2 你的上级还是有路由的啊,还是可以配置防火墙。
cpstar
2022-02-19 22:21:52 +08:00
如果你无所不知,那是没有安全问题的。
但是你不是,因为连特喵的开发程序的都不知道哪天会爆出来一个新漏洞,比如前一段的 log4j 漏洞。
JensenQian
2022-02-19 22:27:31 +08:00
下一个贴子预订,楼主关闭 v6 防火墙,我的 nas 怎么被锁了
libregratis
2022-02-20 01:26:42 +08:00
建议换个路由器,最便宜的可以刷 openwrt 千兆硬路由应该是小米 R3G 大概五六十,只不过是 MIPS 架构,如果上 Cortex-A53 除了 R2S 还有 Linksys EA8450

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/835079

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX