大数据时代不要再轻易关闭防火墙暴露于公网了

shagua517

wei73 发表于 2023-9-27 15:45
这是最无效的办法，有试错的机会就无效。

好大口气啊，那你倒是说说怎么无效，纯数字到8位有一亿种组合，要封5千万IP，谁手上这么多资源。

港城钢铁侠

声色茶马 发表于 2023-9-26 08:29
[允悲] [允悲] [允悲]

其实很简单的三五条安全设置，比如只允许内网IP访问NAS啥的，99%的恶意访问就会知 ...

是这样，大家安全意识都上去那黑客行业就开始内卷了，各种新的攻击方式就要开始出现了

gdyan2020

定义了一条防火墙规则，谁扫描我的22 3389端口，就直接把ip黑名单

ghj

如果开各种服务是给自己用的呢？
暴力密码破解如何应对？（是自己设置带符号和大写字母的方便记忆的长密码还是必须用密码生成器随机生成字符？）

装陈醋的酱油瓶

搞了ROS 几周，没注意防火墙配置，结果有几十万条记录.....

没被破大概只是运气好，没被DDoS大概是x86虚拟机配置够?

panzerlied

想当年转帖机的AC88U暴露在公网

春秋战国

gdyan2020 发表于 2023-9-27 22:03
定义了一条防火墙规则，谁扫描我的22 3389端口，就直接把ip黑名单

作为小白，请问一下具体怎么写的呢？

jim9606

Mashiro_plan_C 发表于 2023-9-25 19:01
那是因为很多人都用常见甚至默认的端口……你发的图不就有个port 5000

ipv4 nat过于流行带来的坏习惯。有些产品也是没设计好，以为无认证=局域网访问

jim9606

家宽内网服务服务要暴露出去也挺麻烦的。
v6时代路由器默认拦截v6入站没啥问题，但缺乏合适的开放特定端口的方法。
最傻瓜(虽然有一点点安全问题)是用UPnP IGDv2 WANIPv6FirewallControl,但没多少路由支持这个。
手动配置防火墙吧，网络前缀会变导致ip也会变，又没见哪家防火墙可以按主机id写放行规则的，而且还要改主机设置关掉随机地址,或者就只匹配端口号。
所以多数时候我也只能一刀切把路由防火墙关了，然后去折腾主机的防火墙。

starryloki

即使是IPv6也会有人顺着BT/PT来扫端口/网段，家里几个相邻的/64 IPv6网段，都做了防火墙只放行需要的端口其他入站一律拦截。而跑了PT的网段是唯一一个拦截规则有计数的网段

wangzorro

贩卖焦虑都一样，几十年前杀毒软件也是这么火起来的。kv300，瑞星，毒霸，卡巴，小红伞，诺顿。那叫一个热闹

l8017379

扫描到和能进入是两回事把？