V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaopenyou
V2EX  ›  宽带症候群

家里宽带用公网 IP,需要注意点什么?

  •  
  •   xiaopenyou · 2020-09-08 02:33:38 +08:00 · 5679 次点击
    这是一个创建于 1542 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公网 IP 虽然好处多( eg. 能挂 PT ),但听说不安全,会被批量扫端口、肉鸡之类(我文科生不懂哈,听别人说的…说错求不喷

    如果家里宽带改成公网 IP,路由器在安全上需要做什么设置吗?

    谷歌了下,好像可以禁止 HTTP 管理,SSH 从外网访问。除了这些还有吗?

    网上还说可以关闭对外的 21 、22 、23 、80 、8080 端口,但我用的红米 AC2100+老毛子,管理页面中没有屏蔽 WAN 口端口的选项啊?那没这些选项的路由器固件,用公网 IP 是不挺危险?

    小白请教专家,谢谢!

    13 条回复    2020-11-08 22:19:03 +08:00
    0lobster0
        1
    0lobster0  
       2020-09-08 07:40:53 +08:00 via Android   ❤️ 1
    蹲一个。我是光猫网关路由,光猫防火墙拉最高(好像是连 ping 都禁止了),然后端口映射一个 ip+特殊端口。
    二级路由器只放行一个文件管理 web 的端口出去。同时在路由器配置个 ddns 。
    外边就可以域名+端口 访问这个 web 了。
    缺点就是没有路由器不能多拨,路由器是是局域网 ip 。这样可能路由器的很多功能没用上。顺便说下我路由器是刷的 openwrt 。
    cooioobb
        2
    cooioobb  
       2020-09-08 09:22:40 +08:00 via Android
    你路由器没有设置绑定对应你内网 ip 端口,你怕个毛线
    JimmyTinsley
        3
    JimmyTinsley  
       2020-09-08 09:25:35 +08:00   ❤️ 1
    如果你没有用 upnp 端口映射或者开启 dmz 的话, 端口默认是不会开放出去的.
    cooioobb
        4
    cooioobb  
       2020-09-08 09:26:29 +08:00 via Android   ❤️ 1
    你光猫现在是公网 ip 。不等于你电脑是公网 ip 。想你内网设备可以公网访问。还要去光猫设置端口映射。不然你所有设备都是内网。无法访问
    xiaopenyou
        5
    xiaopenyou  
    OP
       2020-09-08 12:31:07 +08:00
    @cooioobb #4 我光猫是桥接……拨号在路由上
    xiaopenyou
        6
    xiaopenyou  
    OP
       2020-09-08 12:43:02 +08:00
    @0lobster0 #1 那老哥你这个挺安全吧?等于对外只开放一个特殊端口?(不懂……
    我家光猫是桥接,拨号在路由器上,upnp 肯定要开的,因为我用 PT 。所以不知道怎样设置才兼顾安全和易用。
    xiaopenyou
        7
    xiaopenyou  
    OP
       2020-09-08 12:51:51 +08:00
    @JimmyTinsley #3 因为要 PT,upnp 必须开呀……那怎么设置才能提高安全性呢…有大佬简单提提关键词也好,我可以自己谷歌做功课……
    xiaopenyou
        8
    xiaopenyou  
    OP
       2020-09-08 12:56:59 +08:00
    @cooioobb #4 路由器 upnp 有打开(默认就是打开的),这种怎么设置安全性比较好呢?
    wazon
        9
    wazon  
       2020-09-08 15:12:16 +08:00   ❤️ 1
    路由器固件的管理界面一般是禁止外网访问的,担心的话设个复杂的密码就好。
    如果不做端口映射的话,保持默认一般已经足够了。如果映射的话,只映射有需要的、无安全隐患的端口。如果 DMZ 的话,DMZ 主机的防火墙要搞好。
    UPnP 的安全性一般取决于所映射端口的安全性,也就是发起 UPnP 软件的安全性。主流软件的话保持默认就行了。
    xiaopenyou
        10
    xiaopenyou  
    OP
       2020-09-08 15:29:02 +08:00
    @wazon 哦,原来如此,基本明白啦(其实就是保持默认就好,老毛子管理页面默认也是禁外网访问的),谢谢老哥^_^
    jdwinter
        11
    jdwinter  
       2020-09-11 22:36:09 +08:00
    没什么特殊用途还是关闭公网 IP 比较好,
    ritaswc
        12
    ritaswc  
       2020-09-19 01:13:49 +08:00
    其实没什么事 uPnP 没啥事,DMZ 就别开了,除非是游戏主机
    v2tudnew
        13
    v2tudnew  
       2020-11-08 22:19:03 +08:00
    @0lobster0 ICMP 的方式不仅仅是“traceroute”和“ping”.当您运行 DNS 服务器(端口不可达)时,它用于反馈,在现代 DNS 服务器中,它实际上可以帮助选择不同的计算机以更快地查询.
    如上所述,ICMP 也用于路径 MTU 发现.机会是你的 OS 在它发送的 TCP 数据包上设置“DF”(不碎片).如果路径上的某些内容无法处理该数据包大小,则期望获得 ICMP“需要分片”数据包.如果你阻止所有 ICMP,你的机器将不得不使用其他回退机制,它基本上使用超时来检测 PMTU“黑洞”,并且永远不会正确优化.
    https://www.jb51.cc/shell/402616.html
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2637 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 15:50 · PVG 23:50 · LAX 07:50 · JFK 10:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.