为了能在外面用外网也能访问家里的群晖。
我将光猫改成桥接,路由器拨号上网,并且将路由器的防火墙关了。
这样可以用任意支持 ipv6 的设备通过 ipv6 地址访问 nas 管理页面。
但是这样有没有安全隐患,不是指 nas 的安全,因为登陆要两步验证,多次尝试失败还会封 ip 。
就是在目前,完全关闭自己路由器的防火墙会不会让别人破解登陆自己的路由器或者其他的端口什么的。
PS:我的路由器不支持 ssh 登陆,后台貌似也不支持单独放开几个端口,只有一个全局防火墙的开关,打开防火墙的话,外网就没法访问 ipv6 ,只有关了才行
1
Buges 2022-02-19 20:03:06 +08:00 via Android
你不会单独为你的 nas 放行吗?
完全关掉防火墙,你所有设备暴露的内网服务全部暴露在公网上,你自己想想有没有安全问题。 |
2
ggp1ot2 OP @Buges #1 想过只放开 nas 端口,但是奈何路由器不支持啊,路由器是华为 TC7102 ,搜了一圈没有能 ssh 连接上路由器的教程,官方后台管理也只有一个全局的防火墙开关。。。
就是感觉现在全部设备都暴露在公网上,感觉有点害怕,估计要买个新的路由器了 |
3
ggp1ot2 OP 家里就一个 nas 、电视、和几台手机
|
4
chotow 2022-02-19 20:28:02 +08:00 1
搜到了华为官方的端口映射文档,适用产品里有 TC7102 ,楼主看看有没有用:
https://consumer.huawei.com/cn/support/content/zh-cn01054483/ 如果没有 IPv4 公网地址,我觉得关闭防火墙的安全问题不大; IPv6 地址海量,入侵你的内网付出的代价太大。个人拙见,望抛砖引玉。 |
5
Buges 2022-02-19 20:32:08 +08:00 via Android 1
|
6
LnTrx 2022-02-19 20:35:08 +08:00
IPv6 是 SLAAC 的话内网设备风险不大,至于路由器本身可以扫一下看看有没有开放的端口
|
8
xarthur 2022-02-19 20:36:41 +08:00 via iPhone
IPv6 暴露在公网上不代表前面就没有防火墙啊
|
9
ggp1ot2 OP @Buges #5 感谢知道,我搜搜透明桥是什么。。其实本身也是程序员,搜了一圈评估了一下,自认为应该不会有什么问题,首先确定的是没有公网 ipv4 。ipv6 貌似扫描的成本比较大。。。最后我不知道。。最坏的结果,坏人能利用我的 ipv6 地址干嘛,挖矿?
|
10
ggp1ot2 OP @chotow #4 我的 nas 端口用的是 5000 ,我在后台打开防火墙,做端口转发,内部端口 5000 外部端口 5000 ,内网可以访问,外网就不行
|
12
ggp1ot2 OP 我个人理解,路由器直接给一个全局开关,没有屏蔽这个功能,应该是有信心不造成很严重的后果吧
|
13
LnTrx 2022-02-19 20:45:46 +08:00
@ggp1ot2 关键是 NAS 的安全配好,比如设好防火墙,或者配个证书用 HTTPS 连接。楼主家的其他设备,比如电视,它应该也不会没事去访问恶意网站,除了内网只有服务商和 ISP 知道它的公网 IPv6 。至于手机,现代操作系统的安全防护也足够了。毕竟手机连流量和公共 WIFI 的时候不可能再去装个防火墙。
|
14
Buges 2022-02-19 21:08:36 +08:00 via Android
@ggp1ot2 就是二层防火墙,对三层透明。
不一定要扫描,你的设备建立的出站连接也会暴露可达的 ipv6 地址。 利用你的 ipv6 当然是访问到你的设备。比如你内网的服务有漏洞、弱口令,或后门程序等。 |
15
ggp1ot2 OP @LnTrx #13 谢谢,那就放心了,不折腾了。。我也是这么想的,常用端口看了下 80 、443 什么的都打不开。。nas 肯定安全,两步验证+ip 白名单足够了。。家里电视手机想必没啥大问题。。。就算给他权限能干嘛呢😂
|
16
ggp1ot2 OP @Buges #14 [比如你内网的服务有漏洞、弱口令,或后门程序等。] ,大佬能再解释下漏洞或者后门程序的影响吗,比如一个案例?比如漏洞能干嘛,我家就一个小米电视,然后平时父母手机连 Wi-Fi 。。。
|
18
cpstar 2022-02-19 22:21:52 +08:00
如果你无所不知,那是没有安全问题的。
但是你不是,因为连特喵的开发程序的都不知道哪天会爆出来一个新漏洞,比如前一段的 log4j 漏洞。 |
19
JensenQian 2022-02-19 22:27:31 +08:00
下一个贴子预订,楼主关闭 v6 防火墙,我的 nas 怎么被锁了
|
20
libregratis 2022-02-20 01:26:42 +08:00 via Android
建议换个路由器,最便宜的可以刷 openwrt 千兆硬路由应该是小米 R3G 大概五六十,只不过是 MIPS 架构,如果上 Cortex-A53 除了 R2S 还有 Linksys EA8450
|
22
datocp 2022-02-20 05:15:21 +08:00 via Android
当年我以为 iptables 默认的 accept 也仅是开放我已经开放的端口,如果没记错的话,它是开放所有端口。
这就意味着通过扫描可能连到内网的其它已开放的端口。而不是象默认设置为 DROP 仅仅只能访问开放的端口。 |
23
ppbaozi 2022-02-20 07:11:27 +08:00
nas 他再怎么声称安全我都不会暴露公网,vpn 回家必须的,我的话
|
24
blueboyggh 2022-02-20 08:31:49 +08:00
理论上正确设置端口转发就可以
|
25
ggp1ot2 OP @JensenQian #19 说实话,还真没考虑过 nas 的安全问题。。。先不说密码比较复杂,只要输错三次就封 ip ,其次就算密码给你,两步验证也需要手机上接收一个验证码,这不大可能被攻破吧。。我也关了 ssh 登陆,真要是还有其他办法绕过登陆的话,所有群晖开了 qc 的用户都会遭殃吧
|
26
ggp1ot2 OP @libregratis #20 谢谢,能否推荐个带放开指定端口防火墙的千兆路由器。。性能好点的。价格几百也能接受。。主要问店铺客服什么防火墙,都是一问三不知或者遮遮掩掩
|
27
ggp1ot2 OP @blueboyggh #24 谢谢。。不过我设置端口转发也不行。。比如我 nas 用 5000 端口管理,我设置端口转发,内网 5000 外网 5000 ,还是无法访问。
我理解的端口转发要求至少别人能外网访问到你的服务器。。仅设置端口转发但是人家还是防火墙把你请求墙了也没用。不知道对不对 |
28
blueboyggh 2022-02-20 08:54:59 +08:00
@ggp1ot2 端口转发在有些路由器系统比如 OpenWRT 里就属于防火墙的设置,本来就是让防火墙放行端口用的
|
29
LittleState 2022-02-20 09:24:22 +08:00 via Android
我一般是映射局域网内某个设备的 SSH 端口,然后只开密钥登录,之后访问别的设备就通过这个 SSH 本地转发,请问大哥们我这样有风险吗…
|
31
cpstar 2022-02-20 10:13:04 +08:00
@des 30# 本来我哗啦哗啦写了很多,后来就改成了两句话。这两句话就是在说,不穿衣服那叫裸奔,只保护该保护的那叫黑名单——但是黑名单谁也能穷举完全;所以只能白名单——只暴露需要的,这就叫保护。
|
34
ggp1ot2 OP @asen1987 #33 这块我不是很懂,因为不论我设置 DMZ 还是端口转发都无效,除非打开防火墙才行。
所以我理解的是,端口转发,将外网访问 5000 端口,转发到内网 5000 ,但是由于防火墙,直接屏蔽了访问请求。所以不关防火墙也没用。。不过当我打完这段话,我就在想,那还要端口转发干什么,直接防火墙配置规则不久好了 😅 |
35
cpstar 2022-02-20 11:10:46 +08:00
|
37
Huelse 2022-02-20 12:40:26 +08:00
如果你只打算给自己用的话建议上 wireguard ,如果要分享 nas 文件之类的可能有点捉襟见肘,最好参照具体品牌的 nas 操作,例如 qnap 最好禁用最高权限用户,上 TOTP ,关 upnp ,高端口号,仅限制 https 登录等
|
38
kxy09 2022-02-21 03:07:02 +08:00
如果一周强制重拨一次,那确实没什么必要
|
39
HawkinsSherpherd 2022-02-21 21:19:30 +08:00
关掉路由器的拉跨防火墙后建议另外搭建一台防火墙,或是换一台防火墙功能完善的路由器。
|
40
libregratis 2022-02-21 23:33:40 +08:00
@ggp1ot2 还有一种免费方案,群晖和手机装 tailscale / zerotier ,这样就不用动 router 了;如果还是想换 router 那就去 openwrt 官网找 Instruction Sets 架构,毕竟 X86_64 性能最好也最贵,cortex-a72 / a53 次之,a15 / a9 都是老款了,但偶尔还有品相好的顶配 ,比如 Netgear Nighthawk & Linksys WRT 系列
|