路由器的防火墙有用吗？（好像还真有用）

VirMoe

宿舍和家里都是光猫桥接路由拨号。
我在公司宿舍的电脑有ipv4公网IP（重启路由就变一个），家里的老笔记本有ipv6公网IP（重启路由就变一个）。以前一直用teamviewer，昨天回家按网上教程，把宿舍用的路由器（k2p b1刷了华硕固件）端口转发一开，把电脑3389端口转发出去，直接用MSTSC连，效果好得不行，跟局域网效果一样。



问一下，这个路由器的防火墙干什么用的？
我开或关，对远程桌面都没什么影响，。
电脑上还有个ESET自带的防火墙，只把家里电脑百度出来的本机IP加了防火墙白名单，应该算非常安全了吧。
可惜，宿舍没有ipv6，不能直接MSTSC到家里。

-----------------------------------------------------------------------------------------------------------------------

看坛友说法，好像暴露公网还挺危险。
闲着没事就看了下ESET的日志


还真有人尝试入侵过，192.168.2.170是我电脑的IP。



26号，回家之前安装了teamviewer上去，担心有防火墙连不上，把路由和ESET的防火墙都给关闭了。



27号，连上去后把ESET的防火墙开了，就有了几个日志，然后就一直没有了，估计是因为我把路由器的防火墙打开了。
搞一天，我硬盘里的小姐姐都安然无恙，说明也就那样
不然当年ADSL时代，电脑拨号不得人人肉鸡，毕竟那时关闭防火墙是用电脑第一步

VirMoe

nessaj 发表于 2022-1-28 16:34
防火墙就是放行/禁止访问呗...
你开3389端口转发就是禁其他端口放行3389端口，关防火墙就是放行所有端口 ...

了解了

5long

一般网络防火墙的工作模式都是黑/白名单制
只放行特定端口 & 协议的网络流量
如果暴露在外的服务本身有漏洞
那么防火墙在这里帮不上忙
另外防火墙也不会负责加密 / 认证

推荐的方法还是搞个 VPN 来打通两处网络
在 VPN 里就可以不开防火墙了
VPN 也能做好加密 & 认证的工作

chachi

3389记得转出去换个端口，网上扫3389端口的蜘蛛非常多，就算密码够强也不停的启动winlogon程序挺烦的

404489039

Nat出去换别的端口，强密码
反正没多久你就会哭着发帖怎样解除勒索

ls2021

老老实实的用zerotier之类的方法来连回家
不然就是被自动化程序搞了勒索病毒，尤其是关自动更新之类的自作聪明的做法

VirMoe

你好了吗吃饭了m 发表于 2022-1-28 18:38
百度出来的IP加防火墙里没意义啊

家里ipv4是NAT的

bubuyu

建议换端口+1

VirMoe

chachi 发表于 2022-1-28 18:51
3389记得转出去换个端口，网上扫3389端口的蜘蛛非常多，就算密码够强也不停的启动winlogon程序挺烦的 ...

有换数字比较大的端口，密码感觉不是abc，123456之类的应该都不容易被穷举出来。

5long

VirMoe 发表于 2022-1-28 19:57
有换数字比较大的端口，密码感觉不是abc，123456之类的应该都不容易被穷举出来。 ...

"攻击者能想到的攻击因素, 我都能想到"

假如 Windows 的远程控制服务出了漏洞
攻击者直接绕过密码认证
再强的密码也没用

换端口也只是稍微增加了扫描成本
碰上真心想扫的, 也不难扫出来.

VirMoe

5long 发表于 2022-1-28 20:07
"攻击者能想到的攻击因素, 我都能想到"

假如 Windows 的远程控制服务出了漏洞

我把upnp关了，目前只转发了远程桌面和bitcomet。
路由的防火墙加上ESET的防火墙，能不能站着把他们全拦截了

qianoooo

VirMoe 发表于 2022-1-28 19:57
有换数字比较大的端口，密码感觉不是abc，123456之类的应该都不容易被穷举出来。 ...

还是建议不要在公网开端口

sccs

只开一个端口做反向代理，这样安全很多

VirMoe

5long 发表于 2022-1-28 20:07
"攻击者能想到的攻击因素, 我都能想到"

假如 Windows 的远程控制服务出了漏洞

路由的防火墙虽然不拦截，不过ESET的防火墙默认啥都拦，我不加家里IP的白名单，也远程不过去。
现在就是偶尔麻烦一下，假如宿舍路由重启，就需要teamviewer过去看新IP是什么。
假如家里路由重启，就需要teamviewer过去把家里新ip加白名单。

楪蘭楓

我也转发了，应该没影响吧，就开放了俩公司的固定ip。

5long

VirMoe 发表于 2022-1-28 20:25
路由的防火墙虽然不拦截，不过ESET的防火墙默认啥都拦，我不加家里IP的白名单，也远程不过去。
现在就是偶 ...

IP 白名单这个方法多用于有固定公网 IP 的场景
你这为了配置白名单, 又开了个 TeamViewer 的口子
凡是工作跟 IT 沾点边的, 都很讨厌 TeamViewer 这个软件......

如果自己搭建 VPN
每个节点在 VPN 里的 IP 都可以固定下来
就没这个问题了

VirMoe

nessaj 发表于 2022-1-28 20:29
你给个IP我来帮你试试

—— 来自 S1Fun

私信你IP了，不过安全起见我半个小时以后重启路由换个IP

VirMoe

nessaj 发表于 2022-1-28 20:52
我了个大去，小哥你这是门户全开了呀，震撼

看不懂，说点通俗易懂的。
比如说能不能做到看我收藏的小本子，或者桌面放个txt啥的

sccs

前面那些数字就代表着你开放的端口。。

VirMoe

sccs 发表于 2022-1-28 20:59
前面那些数字就代表着你开放的端口。。

这应该是路由开放的吧，我就算啥都不干也开着的。
我就让路由转发了两个，其中bitcomet我没运行。

VirMoe

nessaj 发表于 2022-1-28 21:01
只能说可能性极大....毕竟你这完全不设防啊

你要有兴趣我开kali帮你走一遍流程

可以，反正我电脑上最珍贵的资料就是数T小黄本

sccs

VirMoe 发表于 2022-1-28 21:03
这应该是路由开放的吧，我就算啥都不干也开着的。
我就让路由转发了两个，其中bitcomet我没运行。 ...

啥路由这么奔放，ssh，telnet默认开放的

VirMoe

sccs 发表于 2022-1-28 21:05
啥路由这么奔放，ssh，telnet默认开放的

k2p刷的华硕固件

sccs

梅林固件这么开放吗。。

waldo

路由filter表默认最后一条肯定是drop all的，特别是楼主你这连ssh和telnet都对公网开放的肯定不是默认配置

5long

sccs 发表于 2022-1-28 21:09
梅林固件这么开放吗。。

以前用过梅林
虽然没这么从公网扫描过
但印象中很多向公网暴露的服务都是要单独开启的

而且官方固件其实只支持华硕设备:
https://www.asuswrt-merlin.net/
楼主用的"梅林"已经不知道是经谁二次开发的了

VirMoe

你好了吗吃饭了m 发表于 2022-1-28 21:51
原来是这么用

你是不是把dmz开了？

没有开

cybernetics31

ssh都开了心也太大了

mfkof

大佬们讲一下，怎么检查自己的公网io是否安全，有哪些端口是开着的。。
我有电信公网ip，就是怕不安全，这么久一直没把光猫改桥接

—— 来自 realme RMX1931, Android 11上的 S1Next-鹅版 v2.5.2

VirMoe

nessaj 发表于 2022-1-28 20:52
我了个大去，小哥你这是门户全开了呀，震撼

你这扫的不对吧，我用http://tool.cc/port/  扫了下，全是关着的，32666是我转出去的3389端口，我就算把路由器防火墙关了，还是检测到全是关闭的。


然后我把ESET防火墙也关了，其他端口也是全关闭，不过可以检测到32666是打开的了。


------------------------------------------------------------------------------------
刚刚才重启路由

laotoutou

我开放了几十个端口给hyper v虚拟机链接。没那么可怕。
那么多upnp默认开放的路由器，一个迅雷就自动给你的路由器开放一堆端口。这些人都没有大面积中招。

laotoutou

外部端口搞个不常用的就行。人家扫也不是每个端口都扫的，要效率的

VirMoe

5long 发表于 2022-1-28 20:41
IP 白名单这个方法多用于有固定公网 IP 的场景
你这为了配置白名单, 又开了个 TeamViewer 的口子
凡是工 ...

搭建免费吗？是在路由器上搭建吗？如果是的话，路由器性能会不会不够？

5long

VirMoe 发表于 2022-1-29 17:31
搭建免费吗？是在路由器上搭建吗？如果是的话，路由器性能会不会不够？ ...

我自己用的是 Tailscale
每台机器各自装客户端
不需要跑在路由器上
但我没跑过 RDP 这种吃带宽的服务

同类软件还有 ZeroTier
个人用的话, 免费版的就够用