公网 IP 虽然好处多( eg. 能挂 PT ),但听说不安全,会被批量扫端口、肉鸡之类(我文科生不懂哈,听别人说的…说错求不喷
如果家里宽带改成公网 IP,路由器在安全上需要做什么设置吗?
谷歌了下,好像可以禁止 HTTP 管理,SSH 从外网访问。除了这些还有吗?
网上还说可以关闭对外的 21 、22 、23 、80 、8080 端口,但我用的红米 AC2100+老毛子,管理页面中没有屏蔽 WAN 口端口的选项啊?那没这些选项的路由器固件,用公网 IP 是不挺危险?
小白请教专家,谢谢!
1
0lobster0 2020-09-08 07:40:53 +08:00 via Android 1
蹲一个。我是光猫网关路由,光猫防火墙拉最高(好像是连 ping 都禁止了),然后端口映射一个 ip+特殊端口。
二级路由器只放行一个文件管理 web 的端口出去。同时在路由器配置个 ddns 。 外边就可以域名+端口 访问这个 web 了。 缺点就是没有路由器不能多拨,路由器是是局域网 ip 。这样可能路由器的很多功能没用上。顺便说下我路由器是刷的 openwrt 。 |
2
cooioobb 2020-09-08 09:22:40 +08:00 via Android
你路由器没有设置绑定对应你内网 ip 端口,你怕个毛线
|
3
JimmyTinsley 2020-09-08 09:25:35 +08:00 1
如果你没有用 upnp 端口映射或者开启 dmz 的话, 端口默认是不会开放出去的.
|
4
cooioobb 2020-09-08 09:26:29 +08:00 via Android 1
你光猫现在是公网 ip 。不等于你电脑是公网 ip 。想你内网设备可以公网访问。还要去光猫设置端口映射。不然你所有设备都是内网。无法访问
|
5
xiaopenyou OP @cooioobb #4 我光猫是桥接……拨号在路由上
|
6
xiaopenyou OP @0lobster0 #1 那老哥你这个挺安全吧?等于对外只开放一个特殊端口?(不懂……
我家光猫是桥接,拨号在路由器上,upnp 肯定要开的,因为我用 PT 。所以不知道怎样设置才兼顾安全和易用。 |
7
xiaopenyou OP @JimmyTinsley #3 因为要 PT,upnp 必须开呀……那怎么设置才能提高安全性呢…有大佬简单提提关键词也好,我可以自己谷歌做功课……
|
8
xiaopenyou OP @cooioobb #4 路由器 upnp 有打开(默认就是打开的),这种怎么设置安全性比较好呢?
|
9
wazon 2020-09-08 15:12:16 +08:00 1
路由器固件的管理界面一般是禁止外网访问的,担心的话设个复杂的密码就好。
如果不做端口映射的话,保持默认一般已经足够了。如果映射的话,只映射有需要的、无安全隐患的端口。如果 DMZ 的话,DMZ 主机的防火墙要搞好。 UPnP 的安全性一般取决于所映射端口的安全性,也就是发起 UPnP 软件的安全性。主流软件的话保持默认就行了。 |
10
xiaopenyou OP @wazon 哦,原来如此,基本明白啦(其实就是保持默认就好,老毛子管理页面默认也是禁外网访问的),谢谢老哥^_^
|
11
jdwinter 2020-09-11 22:36:09 +08:00
没什么特殊用途还是关闭公网 IP 比较好,
|
12
ritaswc 2020-09-19 01:13:49 +08:00
其实没什么事 uPnP 没啥事,DMZ 就别开了,除非是游戏主机
|
13
v2tudnew 2020-11-08 22:19:03 +08:00
@0lobster0 ICMP 的方式不仅仅是“traceroute”和“ping”.当您运行 DNS 服务器(端口不可达)时,它用于反馈,在现代 DNS 服务器中,它实际上可以帮助选择不同的计算机以更快地查询.
如上所述,ICMP 也用于路径 MTU 发现.机会是你的 OS 在它发送的 TCP 数据包上设置“DF”(不碎片).如果路径上的某些内容无法处理该数据包大小,则期望获得 ICMP“需要分片”数据包.如果你阻止所有 ICMP,你的机器将不得不使用其他回退机制,它基本上使用超时来检测 PMTU“黑洞”,并且永远不会正确优化. https://www.jb51.cc/shell/402616.html |