Full cone全锥形NAT安全性探讨

HGASHA · 发表于 2023-8-4 09:59

大佬们，由于跑WXY的需要，我把AX86U刷了恩山P大的FULL CONE固件，连接性是好了，但是看网上说对外部请求的来源无任何限制这块有点忧虑（由于NAS和其他PC也在同一网络内的），所以请教下大家这个说法是否属实，若不安全的话如何防范？

ysc3839 · 发表于 2023-8-4 10:03

一般不会有什么问题，担心的话建议关掉fullcone，直接用DMZ

Mashiro_plan_C · 发表于 2023-8-4 10:21

你都怕安全问题了为什么要开fullcone

HGASHA · 发表于 2023-8-4 11:01

ysc3839 发表于 2023-8-4 10:03
一般不会有什么问题，担心的话建议关掉fullcone，直接用DMZ

DMZ不是会把全部设备都暴露在公网上，那岂不是更危险了

Mashiro_plan_C · 发表于 2023-8-4 11:01

HGASHA 发表于 2023-8-4 11:01
DMZ不是会把全部设备都暴露在公网上，那岂不是更危险了

DMZ只能一个设备。。。

pdvc · 发表于 2023-8-4 11:03

担心安全开防火墙和快照

ysc3839 · 发表于 2023-8-4 11:16

HGASHA 发表于 2023-8-4 11:01
DMZ不是会把全部设备都暴露在公网上，那岂不是更危险了

DMZ是只暴露一个设备，这种需求只暴露WXY就行了

chelomei · 发表于 2023-8-4 11:54

drop 1－1024端口和ICMP的入站

HGASHA · 发表于 2023-8-4 13:05

pdvc 发表于 2023-8-4 11:03
担心安全开防火墙和快照

黑群和路由器的防火墙开了，有用吗？
群辉有专门的防火墙软件吗？

HGASHA · 发表于 2023-8-4 13:05

chelomei 发表于 2023-8-4 11:54
drop 1－1024端口和ICMP的入站

不懂，求大佬科普

HGASHA · 发表于 2023-8-4 13:06

ysc3839 发表于 2023-8-4 11:16
DMZ是只暴露一个设备，这种需求只暴露WXY就行了

了解了，我试试，多谢哈

tancen1983 · 发表于 2023-8-4 19:40

真要黑 NAT几都没用除非你断网

pdvc · 发表于 2023-8-4 19:56

HGASHA 发表于 2023-8-4 13:05
黑群和路由器的防火墙开了，有用吗？
群辉有专门的防火墙软件吗？

用群晖自带的防火墙，限制端口和IP的扫描，限制登录失败的IP进入黑名单，限制一些国家的IP，比如俄罗斯、东南亚什么的。

群晖有快照，打开那个，可以在中招勒索病毒以后恢复。

chelomei · 发表于 2023-8-4 20:01

HGASHA 发表于 2023-8-4 13:05
不懂，求大佬科普

防火墙规则,丢弃低端口号的数据和icmp的包

账号		自动登录	找回密码
密码			加入我们

[网络] Full cone全锥形NAT安全性探讨