这是一个创建于 917 天前的主题,其中的信息可能已经有所发展或是发生改变。
家里成了公网 ip ,方便是方便了,
但毕竟直接暴露在公网里,需要做什么安全防范措施么??
但毕竟直接暴露在公网里,需要做什么安全防范措施么??
 |
1
herozzm 2022-05-03 12:57:10 +08:00
关闭没有必要的端口,防火墙还是要的
|
 |
2
cathiabi 2022-05-03 12:58:29 +08:00
先扫一遍端口,看看有的服务是否都是自用且必须的,是否没有裸奔且服务本身足够安全。UPNP 确认好要不要开。
|
 |
3
wzky 2022-05-03 13:44:23 +08:00  1
最重要的就是不要使用弱口令分分钟破解,而且还开启了远程桌面连接,血的教训!
|
 |
4
disk 2022-05-03 14:16:23 +08:00
网关 nat ,通过带认证的隧道接入或转发服务访问内网应用,是相对安全性最高的。如果应用直接暴露于公网,最好有一定的隔离措施。
|
 |
5
acbot 2022-05-03 15:01:39 +08:00
只要你没做过什么,就什么也不需要做!
|
 |
6
ericbize 2022-05-03 15:12:02 +08:00 1
防火墙,入口要一个开一个, 不要用弱口令。
|
 |
7
nonwill 2022-05-03 15:20:51 +08:00
“只要你没做过什么,就什么也不需要做!”
十分认同 |
 |
8
ttgo OP |
 |
10
a8Fy37XzWf70G0yW 2022-05-03 15:45:29 +08:00 via Android
1.只開放需要的服務至外部。
2.開放至外部的服務均須使用強健的驗證措施。(例如強度足夠的密碼或者密匙) 對於普通家用來說這些就足夠了。 |
 |
11
pcbl 2022-05-03 15:49:27 +08:00 via Android
只开放 vpn 服务,其他到 wan 口的全部拒绝
|
 |
12
jjxtrotter 2022-05-03 15:56:58 +08:00
@ttgo 远程桌面默认端口建议改掉,可以避免不少麻烦
|
 |
13
aru 2022-05-03 16:11:46 +08:00
windows 的远程桌面要记得经常给 windows 打补丁
我之前有一个复杂密码的 windows 远程就是因为漏洞被入侵挖矿了 然后机箱散热不好,主板发出声音报警被我很快发现的 |
 |
14
kmvvv 2022-05-03 16:26:57 +08:00 via iPhone 2
1.关闭 upnp
2.关闭从 wlan 链接管理路由器 3.不要打开 ssh 登录路由器 4.尽量关闭所有端口映射,尤其不要打开 windows 远程的映射 5.开启防火墙,禁止 ipv6 从外网主动发起链接 6.尽量采用 VPN 方式连接,而不是直接暴露服务 7.如果还有条件,可以考虑划分 vlan ,部署入侵检测系统,收集访问信息,攻击日志,图表显示方便监控。 |
 |
15
MajestySolor 2022-05-03 16:32:51 +08:00
杞人忧天
|
 |
16
binaryify 2022-05-03 17:11:45 +08:00
其实还好,公网 IP 会不定期动态变化
|
 |
17
yzc27 2022-05-03 17:24:33 +08:00
顺路借问一下,公网 ip ,只留 openvpn 的五位数的高位端口,这样安全性足够吗? openvpn 会容易被爆破吗?
|
 |
18
simplove 2022-05-03 17:28:16 +08:00
有什么不安全的,路由器不是有一层 NAT 吗?你的电脑又不是直接配的公网 IP
|
 |
19
dream7758522 2022-05-03 18:39:23 +08:00 via Android
用完记得拔网线
|
|
20
acbot 2022-05-03 19:18:30 +08:00
@ttgo 公网开非常用端口,禁用 Administrator 等系统默认用户,有条件的话限定一下访问源 IP 范围。这些做好了基本可以防止 90%以上的安全问题。剩下 10%的安全问题,一般在没有价值的电脑上也不会发生。
|
 |
21
Sekai 2022-05-03 21:47:38 +08:00
没有
|
 |
22
zenben 2022-05-03 22:16:43 +08:00 via iPhone
可以通过路由器映射端口,即用即开,并限制开放端口
|
 |
23
aaa5838769 2022-05-03 23:20:16 +08:00
防火墙配置对外开放的端口的白名单策略就可以了。
|
 |
24
testver 2022-05-03 23:25:37 +08:00 2
平时光猫断电,有上网需求再通电,用完记得断电。
|
 |
25
luny 2022-05-03 23:31:21 +08:00
常规功能端口能换的,尽量更换成自定义,远程 ssh 登陆不需要不要开,开的话,不要用默认 22 端口,5 位数配置,密码复杂度尽量高,常规端口每天在公网上,都有大量的扫描,尝试登陆,即使破不了,也会影响主机性能。
|
 |
26
IvanLi127 2022-05-04 00:42:29 +08:00 via Android
及时更新系统和软件。
|
 |
27
txydhr 2022-05-04 01:37:53 +08:00
楼主问这种问题,应该是不需要任何特殊的设置
|
 |
28
snw 2022-05-04 11:04:11 +08:00 via Android
|
 |
29
Les1ie 2022-05-04 11:35:07 +08:00
家宽,联通,公网 IP ,我目前的策略,供参考:
1. 不暴露 SSH 或者 windows 远程桌面在公网,远程桌面也曾经出过严重漏洞,比如 CVE-2019-0708 ,如果一定要暴露远程桌面,那么建议使用非标准端口。 2. 开启路由器的防火墙,尽量用近几年的还在保持系统更新的路由器,旧路由器的漏洞也不少。自己的服务器觉得能 hold 住,防火墙 Any to Any permit ,但是家里的内网还是该怂就得怂,不然内网安全还是无法保障的。 3. 建议非标准端口暴露 OpenVPN/Wireguard 服务,通过 VPN 访问内网设备。 4. 光猫里开启 IPv6 的防火墙,禁止入站连接。尽管 v6 地址稀疏,难以被主动探测扫描到,但是无法保证总是安全的。 |
 |
30
BeliefanX 2022-05-04 12:08:29 +08:00
我目前是光猫 + 软路由的组合,之前也想改桥接,但是用了 WireGuard 做内网穿透之后,觉得真香。
|
|
31
BeliefanX 2022-05-04 12:11:26 +08:00
光猫只开一个 WireGuard 的端口做一下转发,其它端口都不用开。
配合 mac 和 iphone 端的 surge ,真的实现了各网融合,即使是在外面,也可以像在家一样,通过局域网地址正常访问内网服务。 |
 |
32
datocp 2022-05-04 12:16:56 +08:00
这几年踩过的坑,一般家用还算好用的是 nat ,但是如果没有 openwrt 这种完全定制化的固化,很多安全防护是很难做到的
1.iptables -P INPUT DROP 防火墙入方向要先拒绝,然后一个个允许。这问题当时在使用 vps 时傻眼了,默认 ACCEPT 怎么可以连接到基于公网的 ip 2.强制所有的 DNS 查询都经过网关,这样才可以做一些基于 dnsmasq 的访问限制 -A prerouting_rule -s 192.168.0.0/16 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.99.253 3.syn flood 抑制,这个 openwrt 默认就有了 iptables -F syn_flood iptables -N syn_flood iptables -A syn_flood -m limit --limit 100/s --limit-burst 50 -j RETURN iptables -A syn_flood -j DROP 4.动态封禁扫描,可以用 hacker iptables recent 搜索一下,之前介绍的文章是用 iptables recent 模块实现,后来因为有了 ipset ,事情就更简单了,所有踩中陷阱的源 ip ,统统封禁 3 分钟。 iptables -I INPUT 3 -i eth0.2 -m set --match-set banned_hosts src -j DROP iptables -I INPUT 4 -i eth0.2 -p udp -m multiport --dports 80,161,1863,5060 -j SET --add-set banned_hosts src iptables -I INPUT 5 -i eth0.2 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts s ipset destroy banned_hosts ipset -N banned_hosts hash:net timeout 180 5.集成 softether ,vpn 到内网再访问服务是个好习惯。避免突然有天发现端口被 ISP 封禁了。。。 |
|
33
acbot 2022-05-04 13:58:10 +08:00
@snw “举个例子,... 这种情况只有扫一遍自己的端口才能发现” 首先,光猫 /路由器 /操作系统的防火墙默认规则已经足够,只要你不无脑的禁用或者是骚操作那么都能够保证网络环境安全;其次,非要说打洞和穿透的问题,这个问题在 NAT 环境下同样存在,与是否公网环境没有多大关系,更多的是软件和你自身的问题!
|
 |
34
wslzy007 2022-05-04 14:04:02 +08:00
其实吧,最安全的方式就是不要开监听端口,使用反向连接进行安全访问,同时关闭 upnp 及端口映射,打开防火墙。
可以试试 SG 方案 @ttgo github.com/lazy-luo/smarGate PS:VPS 也可以依葫芦画瓢只允许 localhost 访问 ssh |
 |
35
ztjal 2022-05-04 17:30:17 +08:00
首先呢,LZ 自己并没有说明自己的上网环境。
LZ 是用什么方式上网的呢?光猫拨号?路由器拨号呢?还是电脑拨号呢? 光猫型号?路由器型号? 先把这些基础信息说清楚。 |
 |
38
libook 2022-05-05 15:38:21 +08:00
假设是家里路由器开 NAT ,然后家里设备组成一个局域网,靠路由器转发到公网。
这种情况下就是从公网没法访问到家里的设备,只能访问到路由器,除非在路由器上开了端口映射或 UPnP 。 那么首先要保证路由器的安全,比如管理界面是否允许公网登录,以及密码强度、固件漏洞等等。 其次是看内网有啥服务需要在路由器上开端口映射,这些服务本身是否具备安全措施,比如是否容易被攻击,是否会被夺取控制权,是否会泄露数据,传输数据是否进行了加密(比如没用 TLS 的情况)。 建议能用 VPN 尽量用 VPN ,公网只开一个 VPN 端口,其他都像在局域网里访问一样,特别是远程桌面之类的功能。 |
|
40
kmvvv 2023-05-10 00:44:19 +08:00
@geniusmyn pfSense 有 snort 或者 suricata ,至于日志我用 ELK 收集过,5 天磁盘空间占用增加 10 多 G ,最终还是弃了
|
Select Language