我用PVE+OPNsense,资源要求倒是不高,开日志的硬盘要大一些,10G空间用不了几天就占满了,对称型防火墙, ...
我测试的时候,给是20G硬盘,2天不到满了。现在给了60G,再给观察下。nat类型可以改啊,防火墙也可以放行。目前还在断断续续的测试,最近忙,时间不够。家里的蜜罐已经不少攻击的了……还能撑一撑 蓝色星芒 发表于 2023-10-13 11:01
我测试的时候,给是20G硬盘,2天不到满了。现在给了60G,再给观察下。nat类型可以改啊,防火墙也可以放行 ...
如果记录攻击类型的话估计60G也不一定够,NAT全放开了也没达到PCDN的要求,安全策略研究不明白 gsyylove 发表于 2023-10-13 11:19
如果记录攻击类型的话估计60G也不一定够,NAT全放开了也没达到PCDN的要求,安全策略研究不明白 ...
NAT的话,其实你直接做DMZ,在opnsense里,应该就是1:1nat,把pcdn的放在外网上。 上帝也生病 发表于 2023-10-13 15:40
友情提示AIO最好能有硬件备份,不然万一出个问题你所有的服务都挂了
这个是肯定的,硬件备份不好搞,搞硬件备份,还不如直接上集群了。而且能接受业务中断1年1-3次的。
不过数据分类型,有实时的也有每7天的 以前纯ipv4+nat大内网的适合从来没想过防火墙这个问题,看到楼主帖子才想起来全家设备都接入ipv6了,突然感觉家里面的设备都好危险,赶快先把rdp关了[晕倒] 本帖最后由 chainofhonor 于 2023-10-13 19:53 编辑
家用都是NAT 外面进不来
如果实在担心软件问题
就把windows的防火墙默认出站策略改为阻止
然后手动放行需要访问网络的软件
目前我就是这样做的
哦,看了楼上的才想起来还有ipv6
不过应该也不用太担心
IPV6一个/64的子网,基本如果不是专门针对的话,没有人会来扫的吧
而且也是一段时间就换前缀我感觉除非是内网有软件出问题了,主动向控制端暴露前缀,否则不会有人闲的蛋疼来扫ipv6的 家用防火墙~~~哎,现在家里的联通v4公网ip基本上半年都没变,用的的爱快,不知道怎么保证网络的安全,仅仅是爱快那里设置了一下。 chainofhonor 发表于 2023-10-13 19:51
家用都是NAT 外面进不来
如果实在担心软件问题
IPV4都有人扫描,何况IPV6。只要你在公网上有提供服务,不管是群晖还是啥,都会有各种扫描和攻击。除非什么服务都不开放,只接受内网主动发起的访问,但是保不齐被攻破啊 pfsense+panabit(桥接)pfsense 开启(Suricata) 可以达到你的要求 qq775812376 发表于 2023-9-25 14:46
网上淘个飞塔30e 不过授权有点麻烦
哈哈我淘的50E 授权虽然过期了 但绝大部分功能也是正常使用 特征库可以离线更新 sd wan ssl **这些更是不用授权 一直可以正常用的 没问题 两三百 还要啥自行车啊 不用装FortiOS虚拟机折腾 我是放桌面来折腾送的第二条宽带 稳定静音还好看 路由器都省了 pppoe能跑970m 足够折腾了 我自己都没想过要整那么高级的,就怕哪天自己给自己防住了。以前用op,时不时就有人来login各种内网设备,后来换了ubnt的,就再也没有发生过了,端口还是那个端口,域名还是那个域名,反正没人扫我也懒得理了。 直接整硬防火墙,华为USG6307E、H3C F100,京东自营就有 pfsense, OPNsense 优先这两个吧 要不考虑下飞塔,其他的防火墙不续license没法用啊 在家装ik,这算不算引虎赶狼?
页:
1
[2]