直接关了路由器的防火墙有没有安全问题

2022-02-19 19:52:49 +08:00
 ggp1ot2

为了能在外面用外网也能访问家里的群晖。

我将光猫改成桥接,路由器拨号上网,并且将路由器的防火墙关了。

这样可以用任意支持 ipv6 的设备通过 ipv6 地址访问 nas 管理页面。

但是这样有没有安全隐患,不是指 nas 的安全,因为登陆要两步验证,多次尝试失败还会封 ip 。

就是在目前,完全关闭自己路由器的防火墙会不会让别人破解登陆自己的路由器或者其他的端口什么的。

PS:我的路由器不支持 ssh 登陆,后台貌似也不支持单独放开几个端口,只有一个全局防火墙的开关,打开防火墙的话,外网就没法访问 ipv6 ,只有关了才行

6617 次点击
所在节点    宽带症候群
40 条回复
Laitinlok
2022-02-20 04:45:13 +08:00
@ggp1ot2 應該設置端口轉發或者 DMZ
datocp
2022-02-20 05:15:21 +08:00
当年我以为 iptables 默认的 accept 也仅是开放我已经开放的端口,如果没记错的话,它是开放所有端口。
这就意味着通过扫描可能连到内网的其它已开放的端口。而不是象默认设置为 DROP 仅仅只能访问开放的端口。
xPKK1qofAr6RR09O
2022-02-20 07:11:27 +08:00
nas 他再怎么声称安全我都不会暴露公网,vpn 回家必须的,我的话
blueboyggh
2022-02-20 08:31:49 +08:00
理论上正确设置端口转发就可以
ggp1ot2
2022-02-20 08:36:25 +08:00
@JensenQian #19 说实话,还真没考虑过 nas 的安全问题。。。先不说密码比较复杂,只要输错三次就封 ip ,其次就算密码给你,两步验证也需要手机上接收一个验证码,这不大可能被攻破吧。。我也关了 ssh 登陆,真要是还有其他办法绕过登陆的话,所有群晖开了 qc 的用户都会遭殃吧
ggp1ot2
2022-02-20 08:38:25 +08:00
@libregratis #20 谢谢,能否推荐个带放开指定端口防火墙的千兆路由器。。性能好点的。价格几百也能接受。。主要问店铺客服什么防火墙,都是一问三不知或者遮遮掩掩
ggp1ot2
2022-02-20 08:40:17 +08:00
@blueboyggh #24 谢谢。。不过我设置端口转发也不行。。比如我 nas 用 5000 端口管理,我设置端口转发,内网 5000 外网 5000 ,还是无法访问。

我理解的端口转发要求至少别人能外网访问到你的服务器。。仅设置端口转发但是人家还是防火墙把你请求墙了也没用。不知道对不对
blueboyggh
2022-02-20 08:54:59 +08:00
@ggp1ot2 端口转发在有些路由器系统比如 OpenWRT 里就属于防火墙的设置,本来就是让防火墙放行端口用的
LittleState
2022-02-20 09:24:22 +08:00
我一般是映射局域网内某个设备的 SSH 端口,然后只开密钥登录,之后访问别的设备就通过这个 SSH 本地转发,请问大哥们我这样有风险吗…
des
2022-02-20 10:01:58 +08:00
@cpstar 还有向日葵,还有一些物联网设备的安全真的是一言难尽……
cpstar
2022-02-20 10:13:04 +08:00
@des 30# 本来我哗啦哗啦写了很多,后来就改成了两句话。这两句话就是在说,不穿衣服那叫裸奔,只保护该保护的那叫黑名单——但是黑名单谁也能穷举完全;所以只能白名单——只暴露需要的,这就叫保护。
ggp1ot2
2022-02-20 10:20:34 +08:00
@cpstar #31 我可以理解为,裸奔时遮住脸就行了吗 😂
asen1987
2022-02-20 10:49:06 +08:00
@ggp1ot2 #27 端口转发然后被自己的防火墙拦截?这是什么窒息操作。。试试 DMZ
ggp1ot2
2022-02-20 11:03:52 +08:00
@asen1987 #33 这块我不是很懂,因为不论我设置 DMZ 还是端口转发都无效,除非打开防火墙才行。

所以我理解的是,端口转发,将外网访问 5000 端口,转发到内网 5000 ,但是由于防火墙,直接屏蔽了访问请求。所以不关防火墙也没用。。不过当我打完这段话,我就在想,那还要端口转发干什么,直接防火墙配置规则不久好了 😅
cpstar
2022-02-20 11:10:46 +08:00
asen1987
2022-02-20 11:13:55 +08:00
@ggp1ot2 #34 真实墙中墙。。建议退货🌚
Huelse
2022-02-20 12:40:26 +08:00
如果你只打算给自己用的话建议上 wireguard ,如果要分享 nas 文件之类的可能有点捉襟见肘,最好参照具体品牌的 nas 操作,例如 qnap 最好禁用最高权限用户,上 TOTP ,关 upnp ,高端口号,仅限制 https 登录等
kxy09
2022-02-21 03:07:02 +08:00
如果一周强制重拨一次,那确实没什么必要
HawkinsSherpherd
2022-02-21 21:19:30 +08:00
关掉路由器的拉跨防火墙后建议另外搭建一台防火墙,或是换一台防火墙功能完善的路由器。
libregratis
2022-02-21 23:33:40 +08:00
@ggp1ot2 还有一种免费方案,群晖和手机装 tailscale / zerotier ,这样就不用动 router 了;如果还是想换 router 那就去 openwrt 官网找 Instruction Sets 架构,毕竟 X86_64 性能最好也最贵,cortex-a72 / a53 次之,a15 / a9 都是老款了,但偶尔还有品相好的顶配 ,比如 Netgear Nighthawk & Linksys WRT 系列

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/835079

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX