请教各位大佬，申请公网IP以后如何保证家庭网络安全呢？

leonfox

是应该通过防火墙的配置来保护安全么？
计划使用openconnect接回家里，目前路由器是个N100软路由跑Immortalwrt，防火墙应该怎么配置呢？还是说我需要再买一台硬件防火墙？比如飞塔？

rx_78gp02a

您多虑了！！！！

ccchoco

没事，你背后有强大的运营商

J.9h0st

我去，公网好多年了，从没来考虑过这个问题，楼主能详细说说自己的担心是哪些么？

myboyrh

除了不干违法的事情，剩下的就不用操心了

ioiokisslove

服务器不开通外网访问，如果要开，改默认远程端口，密码设置复杂一点

MohaFan

出门在外如何保证不被狙击手暗杀呢？

DawnOct

Nginx 反代，同一个端口，不同的子域名

awyer

不要开dmz，需要什么服务就映射什么端口出去，ssh服务要注意

nn1122

根本不需要硬件防火墙，你的路由器，op系统这些都是一个防火墙设备，只要端口控制入站就行，当然最安全的是只开放威皮恩的端口，需要时连回家内网访问

sChmo

DawnOct 发表于 2025-3-21 10:25
Nginx 反代，同一个端口，不同的子域名

反代就行 正解

imyz

1. 不需要暴露在公网的电脑、设备等不要在路由器上做端口映射。
2. 养成所有内网电脑、设备设置好用户、密码的好习惯，避免弱口令即可，尤其是 Windows 不要用网上下载的 Ghost 这类系统。

PS：我的电脑从 Win7 那会儿开始一直是开远程桌面一直到如今的 Win11，并且路由器公网侧都行不更名坐不改姓用的是 3389 端口，之前 KIS (卡巴斯基）自带的防火墙还会时不时地提示有 Bruteforce 爆破 3389 的警告，反正我的用户名和密码都够复杂，也不理会，要相信巨硬的技术。

rwindz

参考自用vps上线需要注意的安全配置

linkang520

不要轻易暴露端口，每一个端口都是一道裂缝。

lsy174915864

我反正是主路由ROS只允许内网访问，非内网ip访问的数据包直接drop，NAS设置60分钟内两次密码不正确，直接永久封ip，然后密码用Chrome自动生成的复杂密码，自己都记不住的那种，本着开放的态度故意欢迎各位二逼们来试试

每个月NAS上都会ban几个ip，不多，大概5-6个，ROS上的包drop的那可多了。v4v6都有，但是v4更多，v6很少。

raoshine

实在不放心就淘一个二手的飞塔防火墙，200以内的30E可以满足千兆带宽，把需要的端口转发策略放行，我就是这么做的。

久往孤海

有安全忧患是好事。。但盲目的忧患就是自找不自在了。。尤其是自己还没有相关的网络知识。。
我外网v4都好几年了。。也玩DDNS。。几年下来啥事没有。。不要去盲目担心自己搞不定的事情。。

monkeylab

openwrt或者Immortalwrt，不配置防火墙用默认的就足够安全了。
而且现在的家宽非常的抠门，如果你有需要上硬件防火墙的访问量，运营商会抢先一步限制你的连接数、连接速度或者直接把你踢下线。

iooo

openwrt的默认防火墙已经足够家用了，追求商业级别的安全性就只能上商用级别的防火墙，性能高的，价格也非常高

momo77989724

不用多虑  现在基本不给个人了。。。

温柔一枪

你不随便暴漏端口到公网上，不用弱密码，基本没啥大问题，公网ip好久了，也没啥事

xukai_286

家用的路由器默认应该就是开了防火墙的，只能打开你希望打开的端口，除非你想要关掉，但就算关掉了，默认电脑啥的也都是打开防火墙的，所以你更应该考虑**是否安全可靠，wireguard挺轻巧高效且安全的，家里没必要整防火墙，因为对你来说无非就是只打开对应的端口就行了

ConverSun

暴露的服务一定要加密码，有密码3次错误封ip更佳

cl12121

黑群晖在dmz两年多了，目前没有问题

wxlg1117

不要放开端口,有需要配置歪皮恩接入内网.