直接关了路由器的防火墙有没有安全问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 987 天前的主题，其中的信息可能已经有所发展或是发生改变。

为了能在外面用外网也能访问家里的群晖。

我将光猫改成桥接，路由器拨号上网，并且将路由器的防火墙关了。

这样可以用任意支持 ipv6 的设备通过 ipv6 地址访问 nas 管理页面。

但是这样有没有安全隐患，不是指 nas 的安全，因为登陆要两步验证，多次尝试失败还会封 ip 。

就是在目前，完全关闭自己路由器的防火墙会不会让别人破解登陆自己的路由器或者其他的端口什么的。

PS：我的路由器不支持 ssh 登陆，后台貌似也不支持单独放开几个端口，只有一个全局防火墙的开关，打开防火墙的话，外网就没法访问 ipv6 ，只有关了才行

路由器

防火墙

IPV6

外网

40 条回复 • 2022-02-21 23:33:40 +08:00

Buges

2022-02-19 20:03:06 +08:00 via Android

你不会单独为你的 nas 放行吗？
完全关掉防火墙，你所有设备暴露的内网服务全部暴露在公网上，你自己想想有没有安全问题。

ggp1ot2

2022-02-19 20:11:20 +08:00

@Buges #1 想过只放开 nas 端口，但是奈何路由器不支持啊，路由器是华为 TC7102 ，搜了一圈没有能 ssh 连接上路由器的教程，官方后台管理也只有一个全局的防火墙开关。。。

就是感觉现在全部设备都暴露在公网上，感觉有点害怕，估计要买个新的路由器了

ggp1ot2

2022-02-19 20:17:58 +08:00

家里就一个 nas 、电视、和几台手机

chotow

2022-02-19 20:28:02 +08:00

搜到了华为官方的端口映射文档，适用产品里有 TC7102 ，楼主看看有没有用：
https://consumer.huawei.com/cn/support/content/zh-cn01054483/
如果没有 IPv4 公网地址，我觉得关闭防火墙的安全问题不大； IPv6 地址海量，入侵你的内网付出的代价太大。个人拙见，望抛砖引玉。

Buges

2022-02-19 20:32:08 +08:00 via Android

@ggp1ot2 换路由，或者加一个透明桥（ bridge firewall ）。
@chotow 恰恰相反，即使有公网 ipv4 也没什么，有 nat 的保护。而 ipv6 是实打实的暴露在公网上。地址段庞大确实可以抗扫描，但别忘了你的设备会主动建立出站连接的。

LnTrx

2022-02-19 20:35:08 +08:00

IPv6 是 SLAAC 的话内网设备风险不大，至于路由器本身可以扫一下看看有没有开放的端口

ggp1ot2

2022-02-19 20:35:59 +08:00

@chotow #4 感谢，您的意思是，不用关掉防火墙，用端口转发可以实现外网访问内部端口？

xarthur

2022-02-19 20:36:41 +08:00 via iPhone

IPv6 暴露在公网上不代表前面就没有防火墙啊

ggp1ot2

2022-02-19 20:38:10 +08:00

@Buges #5 感谢知道，我搜搜透明桥是什么。。其实本身也是程序员，搜了一圈评估了一下，自认为应该不会有什么问题，首先确定的是没有公网 ipv4 。ipv6 貌似扫描的成本比较大。。。最后我不知道。。最坏的结果，坏人能利用我的 ipv6 地址干嘛，挖矿？

ggp1ot2

2022-02-19 20:41:36 +08:00

@chotow #4 我的 nas 端口用的是 5000 ，我在后台打开防火墙，做端口转发，内部端口 5000 外部端口 5000 ，内网可以访问，外网就不行

ggp1ot2

2022-02-19 20:42:28 +08:00

@xarthur #8 神马意思，难道说运营商还有一道防火墙？

ggp1ot2

2022-02-19 20:43:46 +08:00

我个人理解，路由器直接给一个全局开关，没有屏蔽这个功能，应该是有信心不造成很严重的后果吧

LnTrx

2022-02-19 20:45:46 +08:00

@ggp1ot2 关键是 NAS 的安全配好，比如设好防火墙，或者配个证书用 HTTPS 连接。楼主家的其他设备，比如电视，它应该也不会没事去访问恶意网站，除了内网只有服务商和 ISP 知道它的公网 IPv6 。至于手机，现代操作系统的安全防护也足够了。毕竟手机连流量和公共 WIFI 的时候不可能再去装个防火墙。

Buges

2022-02-19 21:08:36 +08:00 via Android

@ggp1ot2 就是二层防火墙，对三层透明。
不一定要扫描，你的设备建立的出站连接也会暴露可达的 ipv6 地址。
利用你的 ipv6 当然是访问到你的设备。比如你内网的服务有漏洞、弱口令，或后门程序等。

ggp1ot2

2022-02-19 21:08:37 +08:00

@LnTrx #13 谢谢，那就放心了，不折腾了。。我也是这么想的，常用端口看了下 80 、443 什么的都打不开。。nas 肯定安全，两步验证+ip 白名单足够了。。家里电视手机想必没啥大问题。。。就算给他权限能干嘛呢😂

ggp1ot2

2022-02-19 21:11:10 +08:00

@Buges #14 [比如你内网的服务有漏洞、弱口令，或后门程序等。] ，大佬能再解释下漏洞或者后门程序的影响吗，比如一个案例？比如漏洞能干嘛，我家就一个小米电视，然后平时父母手机连 Wi-Fi 。。。

xarthur

2022-02-19 22:07:09 +08:00 via iPhone

@ggp1ot2 你的上级还是有路由的啊，还是可以配置防火墙。

cpstar

2022-02-19 22:21:52 +08:00

如果你无所不知，那是没有安全问题的。
但是你不是，因为连特喵的开发程序的都不知道哪天会爆出来一个新漏洞，比如前一段的 log4j 漏洞。

JensenQian

2022-02-19 22:27:31 +08:00

下一个贴子预订，楼主关闭 v6 防火墙，我的 nas 怎么被锁了

libregratis

2022-02-20 01:26:42 +08:00 via Android

建议换个路由器，最便宜的可以刷 openwrt 千兆硬路由应该是小米 R3G 大概五六十，只不过是 MIPS 架构，如果上 Cortex-A53 除了 R2S 还有 Linksys EA8450

Laitinlok

2022-02-20 04:45:13 +08:00 via Android

@ggp1ot2 應該設置端口轉發或者 DMZ

datocp

2022-02-20 05:15:21 +08:00 via Android

当年我以为 iptables 默认的 accept 也仅是开放我已经开放的端口，如果没记错的话，它是开放所有端口。
这就意味着通过扫描可能连到内网的其它已开放的端口。而不是象默认设置为 DROP 仅仅只能访问开放的端口。

ppbaozi

2022-02-20 07:11:27 +08:00

nas 他再怎么声称安全我都不会暴露公网，vpn 回家必须的，我的话

blueboyggh

2022-02-20 08:31:49 +08:00

理论上正确设置端口转发就可以

ggp1ot2

2022-02-20 08:36:25 +08:00

@JensenQian #19 说实话，还真没考虑过 nas 的安全问题。。。先不说密码比较复杂，只要输错三次就封 ip ，其次就算密码给你，两步验证也需要手机上接收一个验证码，这不大可能被攻破吧。。我也关了 ssh 登陆，真要是还有其他办法绕过登陆的话，所有群晖开了 qc 的用户都会遭殃吧

ggp1ot2

2022-02-20 08:38:25 +08:00

@libregratis #20 谢谢，能否推荐个带放开指定端口防火墙的千兆路由器。。性能好点的。价格几百也能接受。。主要问店铺客服什么防火墙，都是一问三不知或者遮遮掩掩

ggp1ot2

2022-02-20 08:40:17 +08:00

@blueboyggh #24 谢谢。。不过我设置端口转发也不行。。比如我 nas 用 5000 端口管理，我设置端口转发，内网 5000 外网 5000 ，还是无法访问。

我理解的端口转发要求至少别人能外网访问到你的服务器。。仅设置端口转发但是人家还是防火墙把你请求墙了也没用。不知道对不对

blueboyggh

2022-02-20 08:54:59 +08:00

@ggp1ot2 端口转发在有些路由器系统比如 OpenWRT 里就属于防火墙的设置，本来就是让防火墙放行端口用的

LittleState

2022-02-20 09:24:22 +08:00 via Android

我一般是映射局域网内某个设备的 SSH 端口，然后只开密钥登录，之后访问别的设备就通过这个 SSH 本地转发，请问大哥们我这样有风险吗…

des

2022-02-20 10:01:58 +08:00 via iPhone

@cpstar 还有向日葵，还有一些物联网设备的安全真的是一言难尽……

cpstar

2022-02-20 10:13:04 +08:00

@des 30# 本来我哗啦哗啦写了很多，后来就改成了两句话。这两句话就是在说，不穿衣服那叫裸奔，只保护该保护的那叫黑名单——但是黑名单谁也能穷举完全；所以只能白名单——只暴露需要的，这就叫保护。

ggp1ot2

2022-02-20 10:20:34 +08:00

@cpstar #31 我可以理解为，裸奔时遮住脸就行了吗 😂

asen1987

2022-02-20 10:49:06 +08:00

@ggp1ot2 #27 端口转发然后被自己的防火墙拦截？这是什么窒息操作。。试试 DMZ

ggp1ot2

2022-02-20 11:03:52 +08:00

@asen1987 #33 这块我不是很懂，因为不论我设置 DMZ 还是端口转发都无效，除非打开防火墙才行。

所以我理解的是，端口转发，将外网访问 5000 端口，转发到内网 5000 ，但是由于防火墙，直接屏蔽了访问请求。所以不关防火墙也没用。。不过当我打完这段话，我就在想，那还要端口转发干什么，直接防火墙配置规则不久好了 😅

cpstar

2022-02-20 11:10:46 +08:00

OP 32#
![nice]( https://media2.giphy.com/media/yJFeycRK2DB4c/giphy.gif?cid=790b7611a2636d757cbc8402b19e7da723332ffc7c773f98&rid=giphy.gif&ct=g)

asen1987

2022-02-20 11:13:55 +08:00

@ggp1ot2 #34 真实墙中墙。。建议退货🌚

Huelse

2022-02-20 12:40:26 +08:00

如果你只打算给自己用的话建议上 wireguard ，如果要分享 nas 文件之类的可能有点捉襟见肘，最好参照具体品牌的 nas 操作，例如 qnap 最好禁用最高权限用户，上 TOTP ，关 upnp ，高端口号，仅限制 https 登录等

kxy09

2022-02-21 03:07:02 +08:00

如果一周强制重拨一次，那确实没什么必要

HawkinsSherpherd

2022-02-21 21:19:30 +08:00

关掉路由器的拉跨防火墙后建议另外搭建一台防火墙，或是换一台防火墙功能完善的路由器。

libregratis

2022-02-21 23:33:40 +08:00

@ggp1ot2 还有一种免费方案，群晖和手机装 tailscale / zerotier ，这样就不用动 router 了；如果还是想换 router 那就去 openwrt 官网找 Instruction Sets 架构，毕竟 X86_64 性能最好也最贵，cortex-a72 / a53 次之，a15 / a9 都是老款了，但偶尔还有品相好的顶配，比如 Netgear Nighthawk & Linksys WRT 系列