V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
NevadaLi
V2EX  ›  问与答

家庭前置防护(DMZ)

  •  
  •   NevadaLi · 6 天前 · 955 次点击
    之前都喜欢桥接+PPPOE ,现在租房小区只有二级运营商,本来觉得不能暴露端口有些膈应,但近期发现更喜欢让光猫拨号,这样算是多了一层保护,并且内网是内网,整套网络即便更换 isp ,任何配置都不需要修改,即插即用,不怕内网端口暴露。

    遂产生疑问,要部署哪些服务作为整个家庭网络的前置( DMZ )?
    已知:Adguard Home
    第 1 条附言  ·  5 天前
    还请各位不要偏楼,将注意力集中在需要什么服务上,而不是光猫和桥接的问题。

    即便我用了桥接,还是可以自己再设一层前置机器的。
    18 条回复
    H97794
        1
    H97794  
       6 天前
    说的路由器没防火墙一样
    DMZ 差不多已经是旧时代的东西了
    Adguard Home:??? 别瞎说呀...
    ltyj2003
        2
    ltyj2003  
       6 天前 via Android
    光猫拨号还能 UPnP 吗?
    itskingname
        3
    itskingname  
       6 天前
    光猫的路由功能很弱。如果你让光猫拨号,你自己的路由器使用桥接,那么你自己的路由器基本上就是个摆设,所有网络压力都在光猫上面。设备数量一多,或者网络流量一大,就会卡、不稳定。
    NevadaLi
        4
    NevadaLi  
    OP
       6 天前
    @H97794 #1 我是说功能上堪比 DMZ ,DMZ 是作为整个网络前置的存在,同样我也是要实现类似的功能。

    路由器当然有防火墙,不然怎么配置各种路由和转发。

    但现在的问题是这些基础功能不够用啊,dns 泄露+广告过滤(整个内网层面的),端口被 upnp 打开,这些都是上古时代所没有面临的。
    NevadaLi
        5
    NevadaLi  
    OP
       6 天前
    @ltyj2003 #2 不用 upnp 了,没有这个需求了,已经没什么需要让我从外面访问家里了,如果有个人数据要访问,我会放在我四五个 vps 上的(对,我 vps 有十来个,剩下的五六个是 fq 用的,不是钱多,纯属战略失误。。)
    NevadaLi
        6
    NevadaLi  
    OP
       6 天前
    @itskingname #3 光猫拨号和路由器桥接互斥,pppoe 由光猫完成,路由器使用的 lan 口直接 dhcp 获取
    H97794
        7
    H97794  
       6 天前
    @NevadaLi #4 你是在内网,还是外网连回家里?
    描述比较乱,有点难理解.
    瞎说一下,外网回家里(VPN,WireGuard....) ,变成内网了, dns 解析 分流 规则 等,走内网的 主路由或者旁路由
    lxh1983
        8
    lxh1983  
       6 天前 via iPhone
    除了多一跳,网络性能还要受光猫性能影响外,没有看到任何收益啊
    zhaidoudou123
        9
    zhaidoudou123  
       6 天前
    这样算是多了一层保护,并且内网是内网,整套网络即便更换 isp ,任何配置都不需要修改,即插即用,不怕内网端口暴露。

    你用路由器拨号不是一样嘛?我没理解的
    git00ll
        10
    git00ll  
       6 天前
    我觉得没问题,不要小瞧了运营商光猫,给的千兆光猫真的能跑满前兆的
    lionest1229
        11
    lionest1229  
       6 天前
    现在光猫性能不比一般路由差,而且改桥接运营商各种使绊子
    moefishtang
        12
    moefishtang  
       6 天前
    @itskingname 现在新光猫性能真没那么烂...
    问题在于,有些地方发 N 手旧光猫...加上经常更新固件(加些插件,封锁漏洞啥的),性能就更捉急了
    NevadaLi
        13
    NevadaLi  
    OP
       5 天前
    @zhaidoudou123 #9 假设以下场景:

    - 你的路由器支持 upnp ,内网部署了 emby 且允许了 upnp ,(无论由于什么原因,可能是你手抽/脑抽,无意中同意了 emby 使用 upnp ,也可能是你测试完忘了关),此时你的 emby 暴露在了互联网,任何人都可以访问你的 emby ,希望你的用户名密码足够强大。

    - 你的舍友/孩子/亲戚/隔壁的加菲猫/楼上的巫师婆婆在你家造了个桥接的 openwrt vm ,上面有 clash ,aria ,开启了共享,并且第三方 openwrt 贴心的为你开启了 upnp 方便远程管理,此时你的 clash 可以被扫到,结合之前的默认密码漏洞,所有人都能用你小猫咪了,还有热心的网友帮你远程下载各种小电影,妈妈再也不用担心你的学习。

    - 你用 pve 启动了一台开发机,开了个口子,让远在巴基斯坦的史努比可以暂时 ssh 到机器/访问你炫酷的前端/中转文件/一起开发代码,用完后你舒服的关闭了机器。千年以后,另一台 pve 虚拟机上线并成功的拿到了原有 ip ,此时你在家用来看小黄片的页面暴露在了公网。

    - 你是一名忠实的爱优腾迅雷用户,某天你被皮卡丘告知 由于您违规使用 pcdn ,上传流量严重超标,现对你家庭宽带暂停服务。我:????

    - 你是一名充满好奇心的天线宝宝,什么服务都想试试,某天 你部署了来自召唤师峡谷的神秘服务,该服务还有个神秘礼品,——它可以自己开 ssh 口子,让你变成一台肉鸡。一觉醒来,发现自己成了 lol 某场战局里的大头兵。

    以上场景,除了史努比防不住,其他都可以被双重 nat 挡下来,一切只是因为你懒得将光猫改桥接。
    NevadaLi
        14
    NevadaLi  
    OP
       5 天前
    @zhaidoudou123 #9 再加一条,如果你用了桥接,isp 更改后你需要在拨号页面修改账号密码。如果是光猫拨号,即插即用,dhcp 自动下发 ip 。
    NevadaLi
        15
    NevadaLi  
    OP
       5 天前
    @H97794 #7 和回不回家里/翻墙没有任何关系,只是想要一个边界防火墙保护内网的安全,包括但不限于端口暴露,dns 泄露等,请往家庭审计的方向想(不是监控网络)。
    zhaidoudou123
        16
    zhaidoudou123  
       5 天前 via iPhone
    @NevadaLi
    你把路由器 upnp 和端口映射关了不就得了…
    你用光猫拨号加一层 nat ,本来 upnp 啥的也都用不了啊…
    zhaidoudou123
        17
    zhaidoudou123  
       5 天前 via iPhone
    我还是没看懂你的需求,现在你光猫拨号,光猫也有 upnp 之类的功能,你又套了一层 nat 把所有方便的功能都给弄失效了,你硬说是省事了,不用去路由器手动关了,但是意义我不太能理解的。
    另外,你搞 adguard home 和你前面说的换光猫拨号好像也没啥关系吧,你想用的话直接用就好了,光猫拨号还是路由器拨号都行呀
    NevadaLi
        18
    NevadaLi  
    OP
       5 天前
    @zhaidoudou123 #16 参考 5 楼,没有这些需求了。

    本来也和光猫拨号没有关系,前面只是背景。说明我为什么会有想要前置的想法。

    这帖子楼歪了,怪我没说清楚。

    转这里:

    https://www.v2ex.com/t/1083131
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5793 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 01:36 · PVG 09:36 · LAX 18:36 · JFK 21:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.