关于爱快软路由的防火墙配置

iswangsir

之前有使用过Openwrt软路由系统，用了大概有3年，一直都是安装后直接拨号使用，没有进行过防火墙的相关配置。后面购入一台Rb5009,参照狐狸大佬的ROS防火墙配置，但是属实不懂，只能照抄，稳定使用了半年左右，ROS确实稳定和好用。但是一直有一个担心，如果哪天出问题，我自己可能都不知道如何去处理故障。所以想想还是想把RB5009出了，然后组一台小主机刷爱快。
这就有了新的问题了，爱快自然配置起来是明了，快速的。不过和之前用的OP一样，没有进行防火墙配置这一步。请问各位大佬，爱快还需要单独配置防火墙规则吗？还是说爱快本身内置了大部分规则了？
我这边的宽带条件是：电信宽带，有公网IP，需要做DDNS+端口转发，让我可以远程访问群晖（黑裙）。
我知道公网IP对不懂的人来说是更危险的，所以请教各位大佬，我这种情况，需要做什么配置吗？

blanksign

这不同的用法，有不同的配置过程和逻辑。就算我把我的发给你，你也不了解，也没法做参考。

qhdxy

懂一点点代码，用狐狸的脚本代码改改（这个要花点时间弄弄），如果照抄的话，也就改个拨号用的帐号和密码，只要有脚本代码，从0开始搭建，ROS是我用下来所有路由器最快的，要不了3分钟……其他路由再怎么搞都没这么快

iswangsir

qhdxy 发表于 2025-5-4 23:40
懂一点点代码，用狐狸的脚本代码改改（这个要花点时间弄弄），如果照抄的话，也就改个拨号用的帐号和密码， ...

配置使用起来没有问题，但是碰到一点问题，不懂得排查。

qhdxy

iswangsir 发表于 2025-5-4 23:41
配置使用起来没有问题，但是碰到一点问题，不懂得排查。

这就是来CHH和用“软”路由的乐趣了，不懂来问，总有懂的，只要使用方法不太偏


如果想自学，可以在B站看看 ZacGuo 的相关视频，实在不想学，就随便了PC这东西，自己怎么方便怎么来

是不是真的

qhdxy 发表于 2025-5-4 23:44
这就是来CHH和用“软”路由的乐趣了，不懂来问，总有懂的，只要使用方法不太偏

ROS最常用的的IPV4和IPV6的防火墙规则，给一组。

谢谢大佬。

qhdxy

是不是真的 发表于 2025-5-4 23:55
ROS最常用的的IPV4和IPV6的防火墙规则，给一组。

谢谢大佬。

因为配置不同，我也不知道你怎么配置的，直接给要么用不上，要么要出问题

我把狐狸的地址给你，你自己下载研究着改

https://gitee.com/callmer/router ... 8%84%9A%E6%9C%AC.md

iswangsir

qhdxy 发表于 2025-5-4 23:44
这就是来CHH和用“软”路由的乐趣了，不懂来问，总有懂的，只要使用方法不太偏

网络和电脑这块，只是兴趣，所以，可能现在学会了，时间一长又忘了，导致故障时又不知从何入手。影响正常工作。又担心用傻瓜式的爱快，没配置防火墙导致安全问题。所以发帖请教各位爱快是否还需要配置一堆防火墙。

是不是真的

qhdxy 发表于 2025-5-5 00:01
因为配置不同，我也不知道你怎么配置的，直接给要么用不上，要么要出问题

我把狐狸的地址给你，你自己下 ...

收到。我去看看


谢谢啦

qhdxy

iswangsir 发表于 2025-5-5 00:21
网络和电脑这块，只是兴趣，所以，可能现在学会了，时间一长又忘了，导致故障时又不知从何入手。影响正常 ...

你这么说，我还真不知道怎么回答了

因为我好久不用爱快了，看其他人能不能帮到你了，祝好运

qhdxy

是不是真的 发表于 2025-5-5 00:31
收到。我去看看

不客气

因为防火墙这块还涉及其他参数或者变量，比如IP的规划，lan地址池命名等等，没办法完全直出，所以只能这样了，有不懂的只能再来问了，会有人解答的

iswangsir

qhdxy 发表于 2025-5-5 00:34
你这么说，我还真不知道怎么回答了

因为我好久不用爱快了，看其他人能不能帮到你了，祝好运 ...

好的，谢谢大佬

qhdxy

iswangsir 发表于 2025-5-5 00:50
好的，谢谢大佬

别别，太抬举了，我不是什么大佬，只是小白，还在学习的小白，只是学得比普通人多一点点

arieslo

ROS配置好稳定了就备份下来。。乱设置导致有问题了就覆盖回去。。

自从用了ROS，其他的路由系统我都基本不看了。。

深圳老胡

看了半天没明白，既然OpenWRT让你开心使用了三年，那为啥现在非要用爱快呢？继续用OpenWRT不就行了？

其实都不用多问，爱快自身的默认设置肯定是足够保证你正常使用安全的。只要你不自己打开一堆端口，公网IP并不额外增加危险性，除非有人吃饱了撑的，对你发起DDOS攻击。

iswangsir

深圳老胡 发表于 2025-5-5 09:09
看了半天没明白，既然OpenWRT让你开心使用了三年，那为啥现在非要用爱快呢？继续用OpenWRT不就行了？

其实 ...

op大概没半年左右，网络响应就会变慢，而且超过半年修改，像修改LAN口都可能崩溃了。
后面用ROS，虽然有抄了狐狸大佬的防火墙配置，但是经常有国外的IP非法连接（没连接上），有点担心哪天被爆破了，

nn1122

不管什么软路由系统，或者是任何一个操作系统，对外开放的端口越少越好，非公共访问服务端口就不要暴露出来，这是网络安全之准则

iswangsir

nn1122 发表于 2025-5-5 09:44
不管什么软路由系统，或者是任何一个操作系统，对外开放的端口越少越好，非公共访问服务端口就不要暴露出来 ...

用端口映射，比如将外网20204端口转发到内网5000端口。这算端口暴露吗？

roddyhappy

ikuai的ipv6是默认全开，v4是默认关，所以如果有v6的话，可以考虑加一条v6进站全阻断的规则

iswangsir

roddyhappy 发表于 2025-5-5 10:00
ikuai的ipv6是默认全开，v4是默认关，所以如果有v6的话，可以考虑加一条v6进站全阻断的规则

...

有公网IPV4，所以关闭了IPV6服务

Evalyn

没事学点计算机网络吧，玩网络不学怎么行呢。光指望用傻瓜式软件从来不解决问题

nn1122

iswangsir 发表于 2025-5-5 09:51
用端口映射，比如将外网20204端口转发到内网5000端口。这算端口暴露吗？

当然算，如果你是自己需要访问此端口，最好连威皮恩回家访问内网，不要映射出来

iswangsir

nn1122 发表于 2025-5-5 10:44
当然算，如果你是自己需要访问此端口，最好连威皮恩回家访问内网，不要映射出来 ...

再请教一下。端口暴露后，是不是只要IP+端口就可以直接访问该服务？这样就只剩下账号密码最后一层保护了？
如果用反向代理是否可以解决这类危险呢？

iswangsir

Evalyn 发表于 2025-5-5 10:32
没事学点计算机网络吧，玩网络不学怎么行呢。光指望用傻瓜式软件从来不解决问题 ...

生活和工作已经占用大部分精力了。只能用很有限的精力，提升有限的网络体验。已经无法更深一步了。

nn1122

iswangsir 发表于 2025-5-5 11:48
再请教一下。端口暴露后，是不是只要IP+端口就可以直接访问该服务？这样就只剩下账号密码最后一层保护了 ...

是的，像群辉这个系统还有2FA和防暴力破解禁止IP的功能，稍微好一些，但登陆页面如果有绕过漏洞就行同虚设，所以我的建议是非公共服务端口不要暴露

roddyhappy

如果只是自己用，用wireguard之类的连回家最安全

chazikai24

爱快默认有防火墙，只出不进。ddns不需要设置防火墙，端口映射需要单独设置。
外网通过端口映射访问家里群晖，很多地方发现会直接断网要求签保证书。

iswangsir

nn1122 发表于 2025-5-5 13:10
是的，像群辉这个系统还有2FA和防暴力破解禁止IP的功能，稍微好一些，但登陆页面如果有绕过漏洞就行同虚 ...

感谢大佬。看到一些比如反代，是不是可以杜绝暴露的风险了。

iswangsir

roddyhappy 发表于 2025-5-5 13:50
如果只是自己用，用wireguard之类的连回家最安全

好的 ，谢谢。我去研究研究。

iswangsir

chazikai24 发表于 2025-5-5 15:54
爱快默认有防火墙，只出不进。ddns不需要设置防火墙，端口映射需要单独设置。
外网通过端口映射访问家里群 ...

我们这边我用了挺久了，一直没问题。就是担心安全问题。