V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
NevadaLi
V2EX  ›  问与答

家庭前置防护(DMZ)

  •  
  •   NevadaLi · 39 天前 · 1400 次点击
    这是一个创建于 39 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前都喜欢桥接+PPPOE ,现在租房小区只有二级运营商,本来觉得不能暴露端口有些膈应,但近期发现更喜欢让光猫拨号,这样算是多了一层保护,并且内网是内网,整套网络即便更换 isp ,任何配置都不需要修改,即插即用,不怕内网端口暴露。

    遂产生疑问,要部署哪些服务作为整个家庭网络的前置( DMZ )?
    已知:Adguard Home
    第 1 条附言  ·  39 天前
    还请各位不要偏楼,将注意力集中在需要什么服务上,而不是光猫和桥接的问题。

    即便我用了桥接,还是可以自己再设一层前置机器的。
    18 条回复
    H97794
        1
    H97794  
       39 天前
    说的路由器没防火墙一样
    DMZ 差不多已经是旧时代的东西了
    Adguard Home:??? 别瞎说呀...
    ltyj2003
        2
    ltyj2003  
       39 天前 via Android
    光猫拨号还能 UPnP 吗?
    itskingname
        3
    itskingname  
       39 天前
    光猫的路由功能很弱。如果你让光猫拨号,你自己的路由器使用桥接,那么你自己的路由器基本上就是个摆设,所有网络压力都在光猫上面。设备数量一多,或者网络流量一大,就会卡、不稳定。
    NevadaLi
        4
    NevadaLi  
    OP
       39 天前
    @H97794 #1 我是说功能上堪比 DMZ ,DMZ 是作为整个网络前置的存在,同样我也是要实现类似的功能。

    路由器当然有防火墙,不然怎么配置各种路由和转发。

    但现在的问题是这些基础功能不够用啊,dns 泄露+广告过滤(整个内网层面的),端口被 upnp 打开,这些都是上古时代所没有面临的。
    NevadaLi
        5
    NevadaLi  
    OP
       39 天前
    @ltyj2003 #2 不用 upnp 了,没有这个需求了,已经没什么需要让我从外面访问家里了,如果有个人数据要访问,我会放在我四五个 vps 上的(对,我 vps 有十来个,剩下的五六个是 fq 用的,不是钱多,纯属战略失误。。)
    NevadaLi
        6
    NevadaLi  
    OP
       39 天前
    @itskingname #3 光猫拨号和路由器桥接互斥,pppoe 由光猫完成,路由器使用的 lan 口直接 dhcp 获取
    H97794
        7
    H97794  
       39 天前
    @NevadaLi #4 你是在内网,还是外网连回家里?
    描述比较乱,有点难理解.
    瞎说一下,外网回家里(VPN,WireGuard....) ,变成内网了, dns 解析 分流 规则 等,走内网的 主路由或者旁路由
    lxh1983
        8
    lxh1983  
       39 天前 via iPhone
    除了多一跳,网络性能还要受光猫性能影响外,没有看到任何收益啊
    zhaidoudou123
        9
    zhaidoudou123  
       39 天前
    这样算是多了一层保护,并且内网是内网,整套网络即便更换 isp ,任何配置都不需要修改,即插即用,不怕内网端口暴露。

    你用路由器拨号不是一样嘛?我没理解的
    git00ll
        10
    git00ll  
       39 天前
    我觉得没问题,不要小瞧了运营商光猫,给的千兆光猫真的能跑满前兆的
    lionest1229
        11
    lionest1229  
       39 天前
    现在光猫性能不比一般路由差,而且改桥接运营商各种使绊子
    moefishtang
        12
    moefishtang  
       39 天前
    @itskingname 现在新光猫性能真没那么烂...
    问题在于,有些地方发 N 手旧光猫...加上经常更新固件(加些插件,封锁漏洞啥的),性能就更捉急了
    NevadaLi
        13
    NevadaLi  
    OP
       39 天前
    @zhaidoudou123 #9 假设以下场景:

    - 你的路由器支持 upnp ,内网部署了 emby 且允许了 upnp ,(无论由于什么原因,可能是你手抽/脑抽,无意中同意了 emby 使用 upnp ,也可能是你测试完忘了关),此时你的 emby 暴露在了互联网,任何人都可以访问你的 emby ,希望你的用户名密码足够强大。

    - 你的舍友/孩子/亲戚/隔壁的加菲猫/楼上的巫师婆婆在你家造了个桥接的 openwrt vm ,上面有 clash ,aria ,开启了共享,并且第三方 openwrt 贴心的为你开启了 upnp 方便远程管理,此时你的 clash 可以被扫到,结合之前的默认密码漏洞,所有人都能用你小猫咪了,还有热心的网友帮你远程下载各种小电影,妈妈再也不用担心你的学习。

    - 你用 pve 启动了一台开发机,开了个口子,让远在巴基斯坦的史努比可以暂时 ssh 到机器/访问你炫酷的前端/中转文件/一起开发代码,用完后你舒服的关闭了机器。千年以后,另一台 pve 虚拟机上线并成功的拿到了原有 ip ,此时你在家用来看小黄片的页面暴露在了公网。

    - 你是一名忠实的爱优腾迅雷用户,某天你被皮卡丘告知 由于您违规使用 pcdn ,上传流量严重超标,现对你家庭宽带暂停服务。我:????

    - 你是一名充满好奇心的天线宝宝,什么服务都想试试,某天 你部署了来自召唤师峡谷的神秘服务,该服务还有个神秘礼品,——它可以自己开 ssh 口子,让你变成一台肉鸡。一觉醒来,发现自己成了 lol 某场战局里的大头兵。

    以上场景,除了史努比防不住,其他都可以被双重 nat 挡下来,一切只是因为你懒得将光猫改桥接。
    NevadaLi
        14
    NevadaLi  
    OP
       39 天前
    @zhaidoudou123 #9 再加一条,如果你用了桥接,isp 更改后你需要在拨号页面修改账号密码。如果是光猫拨号,即插即用,dhcp 自动下发 ip 。
    NevadaLi
        15
    NevadaLi  
    OP
       39 天前
    @H97794 #7 和回不回家里/翻墙没有任何关系,只是想要一个边界防火墙保护内网的安全,包括但不限于端口暴露,dns 泄露等,请往家庭审计的方向想(不是监控网络)。
    zhaidoudou123
        16
    zhaidoudou123  
       38 天前 via iPhone
    @NevadaLi
    你把路由器 upnp 和端口映射关了不就得了…
    你用光猫拨号加一层 nat ,本来 upnp 啥的也都用不了啊…
    zhaidoudou123
        17
    zhaidoudou123  
       38 天前 via iPhone
    我还是没看懂你的需求,现在你光猫拨号,光猫也有 upnp 之类的功能,你又套了一层 nat 把所有方便的功能都给弄失效了,你硬说是省事了,不用去路由器手动关了,但是意义我不太能理解的。
    另外,你搞 adguard home 和你前面说的换光猫拨号好像也没啥关系吧,你想用的话直接用就好了,光猫拨号还是路由器拨号都行呀
    NevadaLi
        18
    NevadaLi  
    OP
       38 天前
    @zhaidoudou123 #16 参考 5 楼,没有这些需求了。

    本来也和光猫拨号没有关系,前面只是背景。说明我为什么会有想要前置的想法。

    这帖子楼歪了,怪我没说清楚。

    转这里:

    https://www.v2ex.com/t/1083131
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6124 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:02 · PVG 10:02 · LAX 18:02 · JFK 21:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.