V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
ttgo
V2EX  ›  宽带症候群

公网 ip,需要做什么安全防范措施么?

  •  
  •   ttgo · 97 天前 · 5109 次点击
    这是一个创建于 97 天前的主题,其中的信息可能已经有所发展或是发生改变。
    家里成了公网 ip ,方便是方便了,

    但毕竟直接暴露在公网里,需要做什么安全防范措施么??
    38 条回复    2022-05-05 15:38:21 +08:00
    herozzm
        1
    herozzm  
       97 天前
    关闭没有必要的端口,防火墙还是要的
    cathiabi
        2
    cathiabi  
       97 天前
    先扫一遍端口,看看有的服务是否都是自用且必须的,是否没有裸奔且服务本身足够安全。UPNP 确认好要不要开。
    wzky
        3
    wzky  
       97 天前   ❤️ 1
    最重要的就是不要使用弱口令分分钟破解,而且还开启了远程桌面连接,血的教训!
    disk
        4
    disk  
       97 天前
    网关 nat ,通过带认证的隧道接入或转发服务访问内网应用,是相对安全性最高的。如果应用直接暴露于公网,最好有一定的隔离措施。
    acbot
        5
    acbot  
       97 天前
    只要你没做过什么,就什么也不需要做!
    ericbize
        6
    ericbize  
       97 天前   ❤️ 1
    防火墙,入口要一个开一个, 不要用弱口令。
    nonwill
        7
    nonwill  
       97 天前
    “只要你没做过什么,就什么也不需要做!”

    十分认同
    ttgo
        8
    ttgo  
    OP
       97 天前
    @herozzm @ericbize @cathiabi
    防火墙是指路由上的防火墙么?就是普通家用路由,没啥复杂功能。。该怎么做呢?
    端口用一些 online port scanner 从外面扫了一遍,状态都是 filtered ,应该是被过滤掉了吧。
    ttgo
        9
    ttgo  
    OP
       97 天前
    @acbot @nonwill
    我目前就映射了一个端口,远程桌面用。
    @wzky
    windows 账号密码挺强的。。
    viberconnection
        10
    viberconnection  
       97 天前 via Android
    1.只開放需要的服務至外部。
    2.開放至外部的服務均須使用強健的驗證措施。(例如強度足夠的密碼或者密匙)

    對於普通家用來說這些就足夠了。
    pcbl
        11
    pcbl  
       97 天前 via Android
    只开放 vpn 服务,其他到 wan 口的全部拒绝
    jjxtrotter
        12
    jjxtrotter  
       97 天前
    @ttgo 远程桌面默认端口建议改掉,可以避免不少麻烦
    aru
        13
    aru  
       97 天前
    windows 的远程桌面要记得经常给 windows 打补丁
    我之前有一个复杂密码的 windows 远程就是因为漏洞被入侵挖矿了
    然后机箱散热不好,主板发出声音报警被我很快发现的
    kmvvv
        14
    kmvvv  
       97 天前 via iPhone   ❤️ 2
    1.关闭 upnp
    2.关闭从 wlan 链接管理路由器
    3.不要打开 ssh 登录路由器
    4.尽量关闭所有端口映射,尤其不要打开 windows 远程的映射
    5.开启防火墙,禁止 ipv6 从外网主动发起链接
    6.尽量采用 VPN 方式连接,而不是直接暴露服务
    7.如果还有条件,可以考虑划分 vlan ,部署入侵检测系统,收集访问信息,攻击日志,图表显示方便监控。
    MajestySolor
        15
    MajestySolor  
       97 天前
    杞人忧天
    binaryify
        16
    binaryify  
       97 天前
    其实还好,公网 IP 会不定期动态变化
    yzc27
        17
    yzc27  
       97 天前
    顺路借问一下,公网 ip ,只留 openvpn 的五位数的高位端口,这样安全性足够吗? openvpn 会容易被爆破吗?
    simplove
        18
    simplove  
       97 天前
    有什么不安全的,路由器不是有一层 NAT 吗?你的电脑又不是直接配的公网 IP
    dream7758522
        19
    dream7758522  
       97 天前 via Android
    用完记得拔网线
    acbot
        20
    acbot  
       97 天前
    @ttgo 公网开非常用端口,禁用 Administrator 等系统默认用户,有条件的话限定一下访问源 IP 范围。这些做好了基本可以防止 90%以上的安全问题。剩下 10%的安全问题,一般在没有价值的电脑上也不会发生。
    Sekai
        21
    Sekai  
       97 天前
    没有
    zenben
        22
    zenben  
       97 天前 via iPhone
    可以通过路由器映射端口,即用即开,并限制开放端口
    aaa5838769
        23
    aaa5838769  
       97 天前
    防火墙配置对外开放的端口的白名单策略就可以了。
    testver
        24
    testver  
       97 天前   ❤️ 2
    平时光猫断电,有上网需求再通电,用完记得断电。
    luny
        25
    luny  
       97 天前
    常规功能端口能换的,尽量更换成自定义,远程 ssh 登陆不需要不要开,开的话,不要用默认 22 端口,5 位数配置,密码复杂度尽量高,常规端口每天在公网上,都有大量的扫描,尝试登陆,即使破不了,也会影响主机性能。
    IvanLi127
        26
    IvanLi127  
       97 天前 via Android
    及时更新系统和软件。
    txydhr
        27
    txydhr  
       97 天前
    楼主问这种问题,应该是不需要任何特殊的设置
    snw
        28
    snw  
       96 天前 via Android
    @acbot
    @nonwill
    问题是有时候你很难意识到自己已经做过了什么。
    举个例子,有些软件 /应用(尤其是视频类)为了实现 p2p 功能会直接在你设备上开个固定端口用作匿名代理,那些全网代理列表很多都是这种。这种情况只有扫一遍自己的端口才能发现。
    Les1ie
        29
    Les1ie  
       96 天前
    家宽,联通,公网 IP ,我目前的策略,供参考:

    1. 不暴露 SSH 或者 windows 远程桌面在公网,远程桌面也曾经出过严重漏洞,比如 CVE-2019-0708 ,如果一定要暴露远程桌面,那么建议使用非标准端口。
    2. 开启路由器的防火墙,尽量用近几年的还在保持系统更新的路由器,旧路由器的漏洞也不少。自己的服务器觉得能 hold 住,防火墙 Any to Any permit ,但是家里的内网还是该怂就得怂,不然内网安全还是无法保障的。
    3. 建议非标准端口暴露 OpenVPN/Wireguard 服务,通过 VPN 访问内网设备。
    4. 光猫里开启 IPv6 的防火墙,禁止入站连接。尽管 v6 地址稀疏,难以被主动探测扫描到,但是无法保证总是安全的。
    BeliefanX
        30
    BeliefanX  
       96 天前
    我目前是光猫 + 软路由的组合,之前也想改桥接,但是用了 WireGuard 做内网穿透之后,觉得真香。
    BeliefanX
        31
    BeliefanX  
       96 天前
    光猫只开一个 WireGuard 的端口做一下转发,其它端口都不用开。
    配合 mac 和 iphone 端的 surge ,真的实现了各网融合,即使是在外面,也可以像在家一样,通过局域网地址正常访问内网服务。
    datocp
        32
    datocp  
       96 天前
    这几年踩过的坑,一般家用还算好用的是 nat ,但是如果没有 openwrt 这种完全定制化的固化,很多安全防护是很难做到的
    1.iptables -P INPUT DROP
    防火墙入方向要先拒绝,然后一个个允许。这问题当时在使用 vps 时傻眼了,默认 ACCEPT 怎么可以连接到基于公网的 ip
    2.强制所有的 DNS 查询都经过网关,这样才可以做一些基于 dnsmasq 的访问限制
    -A prerouting_rule -s 192.168.0.0/16 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.99.253
    3.syn flood 抑制,这个 openwrt 默认就有了

    iptables -F syn_flood
    iptables -N syn_flood
    iptables -A syn_flood -m limit --limit 100/s --limit-burst 50 -j RETURN
    iptables -A syn_flood -j DROP

    4.动态封禁扫描,可以用 hacker iptables recent 搜索一下,之前介绍的文章是用 iptables recent 模块实现,后来因为有了 ipset ,事情就更简单了,所有踩中陷阱的源 ip ,统统封禁 3 分钟。
    iptables -I INPUT 3 -i eth0.2 -m set --match-set banned_hosts src -j DROP
    iptables -I INPUT 4 -i eth0.2 -p udp -m multiport --dports 80,161,1863,5060 -j SET --add-set banned_hosts src
    iptables -I INPUT 5 -i eth0.2 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts s
    ipset destroy banned_hosts
    ipset -N banned_hosts hash:net timeout 180

    5.集成 softether ,vpn 到内网再访问服务是个好习惯。避免突然有天发现端口被 ISP 封禁了。。。
    acbot
        33
    acbot  
       96 天前
    @snw “举个例子,... 这种情况只有扫一遍自己的端口才能发现” 首先,光猫 /路由器 /操作系统的防火墙默认规则已经足够,只要你不无脑的禁用或者是骚操作那么都能够保证网络环境安全;其次,非要说打洞和穿透的问题,这个问题在 NAT 环境下同样存在,与是否公网环境没有多大关系,更多的是软件和你自身的问题!
    wslzy007
        34
    wslzy007  
       96 天前
    其实吧,最安全的方式就是不要开监听端口,使用反向连接进行安全访问,同时关闭 upnp 及端口映射,打开防火墙。
    可以试试 SG 方案 @ttgo github.com/lazy-luo/smarGate
    PS:VPS 也可以依葫芦画瓢只允许 localhost 访问 ssh
    ztjal
        35
    ztjal  
       96 天前
    首先呢,LZ 自己并没有说明自己的上网环境。
    LZ 是用什么方式上网的呢?光猫拨号?路由器拨号呢?还是电脑拨号呢?
    光猫型号?路由器型号?
    先把这些基础信息说清楚。
    Damn
        36
    Damn  
       96 天前
    @wzky 弱口令远程桌面裸奔多年,不过不是默认端口。
    klarkzh
        37
    klarkzh  
       95 天前 via iPhone
    @wslzy007 这软件不是开源的啊
    libook
        38
    libook  
       95 天前
    假设是家里路由器开 NAT ,然后家里设备组成一个局域网,靠路由器转发到公网。
    这种情况下就是从公网没法访问到家里的设备,只能访问到路由器,除非在路由器上开了端口映射或 UPnP 。

    那么首先要保证路由器的安全,比如管理界面是否允许公网登录,以及密码强度、固件漏洞等等。
    其次是看内网有啥服务需要在路由器上开端口映射,这些服务本身是否具备安全措施,比如是否容易被攻击,是否会被夺取控制权,是否会泄露数据,传输数据是否进行了加密(比如没用 TLS 的情况)。

    建议能用 VPN 尽量用 VPN ,公网只开一个 VPN 端口,其他都像在局域网里访问一样,特别是远程桌面之类的功能。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1506 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 17:45 · PVG 01:45 · LAX 10:45 · JFK 13:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.