家庭路由器防火墙设置讨论

为什么要设置防火墙

我用的是家庭宽带，pppoe 拨号，有公网 IP ，映射了群晖等一些服务出去，之前在路由器上设置了访问日志观察了一段时间，基本上每时每刻都会有全世界各地的 IP 做端口扫描探测。 下面是国外国内两个著名的 IP 资产测绘平台上搜索 synology 关键词的情况： shodan 20W 结果：

fofa 100W+ 结果：

这其中可能就有你我的 nas ，虽说一般也没那么容易就被攻击，但做些防护措施总没错的，万一哪天群晖曝出漏洞，也没那么快就被利用到。

我的防火墙设置

我用的是 routeros ，目前 filter 表主要做了这么些规则：

1 、fasttrack forward ，没有指定接口，用于快速转发已经建立起连接的流量（ establised 和 related ），也就是不需要经过下面的规则了，设置了硬件 offload ，可以减轻路由器计算压力

2 、fasttrack input ，同上，主要区别是一个是转发，一个是路由器本身的服务，比如 VPN 的流量，已经建立连接的 VPN 就不需要继续走下面的防火墙规则了

3 、白名单，在白名单里的 IP 直接放行，通常可以设置一些比较固定的远端管理 IP

4 、丢弃非法流量和黑名单流量，非法流量有可能是一些特殊机制的扫描造成的，直接丢弃；黑名单来自于下面规则中的扫描行为检测

5 、拒绝指定时间段内（例如凌晨 1 点到早上 7 点）对游戏服务器的访问，就几个小伙伴一起玩的 mc 之类的，因为之前发现有小伙伴玩到凌晨 4 点，这很危险，影像身体健康，所以设置了这个手动防沉迷机制。

突然想起这里可能有点问题，因为前面提到已经建立的连接直接就会转发，所以这条规则可能要放到更前面去才能产生效果。

6 、监测端口扫描行为并添加到黑名单，这是 routeros 自带的功能，可以自行调整参数，例如 3 秒中内访问了 5 个以上不同的端口试图新建连接。

7 、允许访问路由器自身开放的服务，例如 VPN 、SSH 等

8 、拒绝其它所有进入流量，这个主要是避免访问到路由器上开放的其它一些不必要的端口。如果有需要开放的话，应该手动添加到第 7 条中去。

接下来的计划：

预计还可以研究一下根据地域来阻止访问，例如禁止所有国外 IP 访问，甚至只允许省内访问，群晖上已经设置了禁止国外 IP 访问，这也能阻挡掉很多扫描和攻击行为，注意前面还要放通内网 IP ，不然局域网都访问不到了。

NAT 表主要是一些内部服务的端口映射，其中有一条值得一提，用于在局域网通过公网 IP 访问内部服务器的，又叫做 IP 回流、发夹效应（ Hairpinning ）、“NAT 环回” （ NAT loopback ） 等等： 当局域网通过网关访问局域网地址时，对源地址进行转换，这样就能在内网通过域名或者公网 IP 来访问到内部的群晖系统了。

所以大家还有什么其它的防火墙设置策略吗？