关于家用软防火墙的选择

gsyylove

我用PVE+OPNsense，资源要求倒是不高，开日志的硬盘要大一些，10G空间用不了几天就占满了，对称型防火墙，跑pcdn挺难搞，NAT类型没搞明白

蓝色星芒

gsyylove 发表于 2023-10-13 10:59
我用PVE+OPNsense，资源要求倒是不高，开日志的硬盘要大一些，10G空间用不了几天就占满了，对称型防火墙， ...

我测试的时候，给是20G硬盘，2天不到满了。现在给了60G，再给观察下。nat类型可以改啊，防火墙也可以放行。目前还在断断续续的测试，最近忙，时间不够。家里的蜜罐已经不少攻击的了……还能撑一撑

gsyylove

蓝色星芒 发表于 2023-10-13 11:01
我测试的时候，给是20G硬盘，2天不到满了。现在给了60G，再给观察下。nat类型可以改啊，防火墙也可以放行 ...

如果记录攻击类型的话估计60G也不一定够，NAT全放开了也没达到PCDN的要求，安全策略研究不明白

蓝色星芒

gsyylove 发表于 2023-10-13 11:19
如果记录攻击类型的话估计60G也不一定够，NAT全放开了也没达到PCDN的要求，安全策略研究不明白 ...

NAT的话，其实你直接做DMZ，在opnsense里，应该就是1:1nat，把pcdn的放在外网上。

蓝色星芒

上帝也生病 发表于 2023-10-13 15:40
友情提示AIO最好能有硬件备份，不然万一出个问题你所有的服务都挂了

这个是肯定的，硬件备份不好搞，搞硬件备份，还不如直接上集群了。而且能接受业务中断1年1-3次的。
不过数据分类型，有实时的也有每7天的

V2ELAO

以前纯ipv4+nat大内网的适合从来没想过防火墙这个问题，看到楼主帖子才想起来全家设备都接入ipv6了，突然感觉家里面的设备都好危险，赶快先把rdp关了

chainofhonor

家用都是NAT 外面进不来

如果实在担心软件问题
就把windows的防火墙默认出站策略改为阻止  
然后手动放行需要访问网络的软件

目前我就是这样做的

哦,看了楼上的才想起来还有ipv6  
不过应该也不用太担心
IPV6一个/64的子网,基本如果不是专门针对的话,没有人会来扫的吧  

而且也是一段时间就换前缀  我感觉除非是内网有软件出问题了,主动向控制端暴露前缀,否则不会有人闲的蛋疼来扫ipv6的

summerbee

家用防火墙～～～哎，现在家里的联通v4公网ip基本上半年都没变，用的的爱快，不知道怎么保证网络的安全，仅仅是爱快那里设置了一下。

蓝色星芒

chainofhonor 发表于 2023-10-13 19:51
家用都是NAT 外面进不来

如果实在担心软件问题

IPV4都有人扫描，何况IPV6。只要你在公网上有提供服务，不管是群晖还是啥，都会有各种扫描和攻击。除非什么服务都不开放，只接受内网主动发起的访问，但是保不齐被攻破啊

ccsa001

pfsense+panabit（桥接）  pfsense 开启（Suricata)   可以达到你的要求   

xxf79

qq775812376 发表于 2023-9-25 14:46
网上淘个飞塔30e 不过授权有点麻烦

哈哈  我淘的50E 授权虽然过期了 但绝大部分功能也是正常使用 特征库可以离线更新 sd wan ssl **这些更是不用授权 一直可以正常用的 没问题 两三百 还要啥自行车啊 不用装FortiOS虚拟机折腾 我是放桌面来折腾送的第二条宽带 稳定静音还好看 路由器都省了 pppoe能跑970m 足够折腾了

tyy474

我自己都没想过要整那么高级的，就怕哪天自己给自己防住了。以前用op，时不时就有人来login各种内网设备，后来换了ubnt的，就再也没有发生过了，端口还是那个端口，域名还是那个域名，反正没人扫我也懒得理了。

大地飞哥

直接整硬防火墙，华为USG6307E、H3C F100，京东自营就有

LarryWons

pfsense， OPNsense 优先这两个吧

xu089757

要不考虑下飞塔，其他的防火墙不续license没法用啊

RyanLR

在家装ik，这算不算引虎赶狼？