公网 ip，需要做什么安全防范措施么？

没有

可以通过路由器映射端口，即用即开，并限制开放端口

防火墙配置对外开放的端口的白名单策略就可以了。

平时光猫断电，有上网需求再通电，用完记得断电。

常规功能端口能换的，尽量更换成自定义，远程 ssh 登陆不需要不要开，开的话，不要用默认 22 端口，5 位数配置，密码复杂度尽量高，常规端口每天在公网上，都有大量的扫描，尝试登陆，即使破不了，也会影响主机性能。

及时更新系统和软件。

楼主问这种问题，应该是不需要任何特殊的设置

@acbot
@nonwill
问题是有时候你很难意识到自己已经做过了什么。
举个例子，有些软件 /应用（尤其是视频类）为了实现 p2p 功能会直接在你设备上开个固定端口用作匿名代理，那些全网代理列表很多都是这种。这种情况只有扫一遍自己的端口才能发现。

家宽，联通，公网 IP ，我目前的策略，供参考：

1. 不暴露 SSH 或者 windows 远程桌面在公网，远程桌面也曾经出过严重漏洞，比如 CVE-2019-0708 ，如果一定要暴露远程桌面，那么建议使用非标准端口。
2. 开启路由器的防火墙，尽量用近几年的还在保持系统更新的路由器，旧路由器的漏洞也不少。自己的服务器觉得能 hold 住，防火墙 Any to Any permit ，但是家里的内网还是该怂就得怂，不然内网安全还是无法保障的。
3. 建议非标准端口暴露 OpenVPN/Wireguard 服务，通过 VPN 访问内网设备。
4. 光猫里开启 IPv6 的防火墙，禁止入站连接。尽管 v6 地址稀疏，难以被主动探测扫描到，但是无法保证总是安全的。

我目前是光猫 + 软路由的组合，之前也想改桥接，但是用了 WireGuard 做内网穿透之后，觉得真香。

光猫只开一个 WireGuard 的端口做一下转发，其它端口都不用开。
配合 mac 和 iphone 端的 surge ，真的实现了各网融合，即使是在外面，也可以像在家一样，通过局域网地址正常访问内网服务。

这几年踩过的坑，一般家用还算好用的是 nat ，但是如果没有 openwrt 这种完全定制化的固化，很多安全防护是很难做到的
1.iptables -P INPUT DROP
防火墙入方向要先拒绝，然后一个个允许。这问题当时在使用 vps 时傻眼了，默认 ACCEPT 怎么可以连接到基于公网的 ip
2.强制所有的 DNS 查询都经过网关，这样才可以做一些基于 dnsmasq 的访问限制
-A prerouting_rule -s 192.168.0.0/16 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.99.253
3.syn flood 抑制，这个 openwrt 默认就有了

iptables -F syn_flood
iptables -N syn_flood
iptables -A syn_flood -m limit --limit 100/s --limit-burst 50 -j RETURN
iptables -A syn_flood -j DROP

4.动态封禁扫描，可以用 hacker iptables recent 搜索一下，之前介绍的文章是用 iptables recent 模块实现，后来因为有了 ipset ，事情就更简单了，所有踩中陷阱的源 ip ，统统封禁 3 分钟。
iptables -I INPUT 3 -i eth0.2 -m set --match-set banned_hosts src -j DROP
iptables -I INPUT 4 -i eth0.2 -p udp -m multiport --dports 80,161,1863,5060 -j SET --add-set banned_hosts src
iptables -I INPUT 5 -i eth0.2 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts s
ipset destroy banned_hosts
ipset -N banned_hosts hash:net timeout 180

5.集成 softether ，vpn 到内网再访问服务是个好习惯。避免突然有天发现端口被 ISP 封禁了。。。

@snw “举个例子，... 这种情况只有扫一遍自己的端口才能发现” 首先，光猫 /路由器 /操作系统的防火墙默认规则已经足够，只要你不无脑的禁用或者是骚操作那么都能够保证网络环境安全；其次，非要说打洞和穿透的问题，这个问题在 NAT 环境下同样存在，与是否公网环境没有多大关系，更多的是软件和你自身的问题！

其实吧，最安全的方式就是不要开监听端口，使用反向连接进行安全访问，同时关闭 upnp 及端口映射，打开防火墙。
可以试试 SG 方案 @ttgo github.com/lazy-luo/smarGate
PS：VPS 也可以依葫芦画瓢只允许 localhost 访问 ssh

首先呢，LZ 自己并没有说明自己的上网环境。
LZ 是用什么方式上网的呢？光猫拨号？路由器拨号呢？还是电脑拨号呢？
光猫型号？路由器型号？
先把这些基础信息说清楚。

@wzky 弱口令远程桌面裸奔多年，不过不是默认端口。

@wslzy007 这软件不是开源的啊

假设是家里路由器开 NAT ，然后家里设备组成一个局域网，靠路由器转发到公网。
这种情况下就是从公网没法访问到家里的设备，只能访问到路由器，除非在路由器上开了端口映射或 UPnP 。

那么首先要保证路由器的安全，比如管理界面是否允许公网登录，以及密码强度、固件漏洞等等。
其次是看内网有啥服务需要在路由器上开端口映射，这些服务本身是否具备安全措施，比如是否容易被攻击，是否会被夺取控制权，是否会泄露数据，传输数据是否进行了加密（比如没用 TLS 的情况）。

建议能用 VPN 尽量用 VPN ，公网只开一个 VPN 端口，其他都像在局域网里访问一样，特别是远程桌面之类的功能。

@kmvvv #14 部署入侵检测系统，收集访问信息，攻击日志，图表显示方便监控，请问大佬这个有什么插件推荐吗

@geniusmyn pfSense 有 snort 或者 suricata ，至于日志我用 ELK 收集过，5 天磁盘空间占用增加 10 多 G ，最终还是弃了