公网 ip，需要做什么安全防范措施么？

关闭没有必要的端口，防火墙还是要的

先扫一遍端口，看看有的服务是否都是自用且必须的，是否没有裸奔且服务本身足够安全。UPNP 确认好要不要开。

最重要的就是不要使用弱口令分分钟破解，而且还开启了远程桌面连接，血的教训！

网关 nat ，通过带认证的隧道接入或转发服务访问内网应用，是相对安全性最高的。如果应用直接暴露于公网，最好有一定的隔离措施。

只要你没做过什么，就什么也不需要做！

防火墙，入口要一个开一个， 不要用弱口令。

“只要你没做过什么，就什么也不需要做！”

十分认同

@herozzm @ericbize @cathiabi
防火墙是指路由上的防火墙么？就是普通家用路由，没啥复杂功能。。该怎么做呢？
端口用一些 online port scanner 从外面扫了一遍，状态都是 filtered ，应该是被过滤掉了吧。

@acbot @nonwill
我目前就映射了一个端口，远程桌面用。
@wzky
windows 账号密码挺强的。。

1.只放需要的服至外部。
2.放至外部的服均使用健的措施。（例如度足的密或者密匙）

於普通家用些就足了。

只开放 vpn 服务，其他到 wan 口的全部拒绝

@ttgo 远程桌面默认端口建议改掉，可以避免不少麻烦

windows 的远程桌面要记得经常给 windows 打补丁
我之前有一个复杂密码的 windows 远程就是因为漏洞被入侵挖矿了
然后机箱散热不好，主板发出声音报警被我很快发现的

1.关闭 upnp
2.关闭从 wlan 链接管理路由器
3.不要打开 ssh 登录路由器
4.尽量关闭所有端口映射，尤其不要打开 windows 远程的映射
5.开启防火墙，禁止 ipv6 从外网主动发起链接
6.尽量采用 VPN 方式连接，而不是直接暴露服务
7.如果还有条件，可以考虑划分 vlan ，部署入侵检测系统，收集访问信息，攻击日志，图表显示方便监控。

杞人忧天

其实还好，公网 IP 会不定期动态变化

顺路借问一下，公网 ip ，只留 openvpn 的五位数的高位端口，这样安全性足够吗？ openvpn 会容易被爆破吗？

有什么不安全的，路由器不是有一层 NAT 吗？你的电脑又不是直接配的公网 IP

用完记得拔网线

@ttgo 公网开非常用端口，禁用 Administrator 等系统默认用户，有条件的话限定一下访问源 IP 范围。这些做好了基本可以防止 90%以上的安全问题。剩下 10%的安全问题，一般在没有价值的电脑上也不会发生。

没有

可以通过路由器映射端口，即用即开，并限制开放端口

防火墙配置对外开放的端口的白名单策略就可以了。

平时光猫断电，有上网需求再通电，用完记得断电。

常规功能端口能换的，尽量更换成自定义，远程 ssh 登陆不需要不要开，开的话，不要用默认 22 端口，5 位数配置，密码复杂度尽量高，常规端口每天在公网上，都有大量的扫描，尝试登陆，即使破不了，也会影响主机性能。

及时更新系统和软件。

楼主问这种问题，应该是不需要任何特殊的设置

@acbot
@nonwill
问题是有时候你很难意识到自己已经做过了什么。
举个例子，有些软件 /应用（尤其是视频类）为了实现 p2p 功能会直接在你设备上开个固定端口用作匿名代理，那些全网代理列表很多都是这种。这种情况只有扫一遍自己的端口才能发现。

家宽，联通，公网 IP ，我目前的策略，供参考：

1. 不暴露 SSH 或者 windows 远程桌面在公网，远程桌面也曾经出过严重漏洞，比如 CVE-2019-0708 ，如果一定要暴露远程桌面，那么建议使用非标准端口。
2. 开启路由器的防火墙，尽量用近几年的还在保持系统更新的路由器，旧路由器的漏洞也不少。自己的服务器觉得能 hold 住，防火墙 Any to Any permit ，但是家里的内网还是该怂就得怂，不然内网安全还是无法保障的。
3. 建议非标准端口暴露 OpenVPN/Wireguard 服务，通过 VPN 访问内网设备。
4. 光猫里开启 IPv6 的防火墙，禁止入站连接。尽管 v6 地址稀疏，难以被主动探测扫描到，但是无法保证总是安全的。

我目前是光猫 + 软路由的组合，之前也想改桥接，但是用了 WireGuard 做内网穿透之后，觉得真香。

光猫只开一个 WireGuard 的端口做一下转发，其它端口都不用开。
配合 mac 和 iphone 端的 surge ，真的实现了各网融合，即使是在外面，也可以像在家一样，通过局域网地址正常访问内网服务。

这几年踩过的坑，一般家用还算好用的是 nat ，但是如果没有 openwrt 这种完全定制化的固化，很多安全防护是很难做到的
1.iptables -P INPUT DROP
防火墙入方向要先拒绝，然后一个个允许。这问题当时在使用 vps 时傻眼了，默认 ACCEPT 怎么可以连接到基于公网的 ip
2.强制所有的 DNS 查询都经过网关，这样才可以做一些基于 dnsmasq 的访问限制
-A prerouting_rule -s 192.168.0.0/16 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.99.253
3.syn flood 抑制，这个 openwrt 默认就有了

iptables -F syn_flood
iptables -N syn_flood
iptables -A syn_flood -m limit --limit 100/s --limit-burst 50 -j RETURN
iptables -A syn_flood -j DROP

4.动态封禁扫描，可以用 hacker iptables recent 搜索一下，之前介绍的文章是用 iptables recent 模块实现，后来因为有了 ipset ，事情就更简单了，所有踩中陷阱的源 ip ，统统封禁 3 分钟。
iptables -I INPUT 3 -i eth0.2 -m set --match-set banned_hosts src -j DROP
iptables -I INPUT 4 -i eth0.2 -p udp -m multiport --dports 80,161,1863,5060 -j SET --add-set banned_hosts src
iptables -I INPUT 5 -i eth0.2 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts s
ipset destroy banned_hosts
ipset -N banned_hosts hash:net timeout 180

5.集成 softether ，vpn 到内网再访问服务是个好习惯。避免突然有天发现端口被 ISP 封禁了。。。

@snw “举个例子，... 这种情况只有扫一遍自己的端口才能发现” 首先，光猫 /路由器 /操作系统的防火墙默认规则已经足够，只要你不无脑的禁用或者是骚操作那么都能够保证网络环境安全；其次，非要说打洞和穿透的问题，这个问题在 NAT 环境下同样存在，与是否公网环境没有多大关系，更多的是软件和你自身的问题！

其实吧，最安全的方式就是不要开监听端口，使用反向连接进行安全访问，同时关闭 upnp 及端口映射，打开防火墙。
可以试试 SG 方案 @ttgo github.com/lazy-luo/smarGate
PS：VPS 也可以依葫芦画瓢只允许 localhost 访问 ssh

首先呢，LZ 自己并没有说明自己的上网环境。
LZ 是用什么方式上网的呢？光猫拨号？路由器拨号呢？还是电脑拨号呢？
光猫型号？路由器型号？
先把这些基础信息说清楚。

@wzky 弱口令远程桌面裸奔多年，不过不是默认端口。

@wslzy007 这软件不是开源的啊

假设是家里路由器开 NAT ，然后家里设备组成一个局域网，靠路由器转发到公网。
这种情况下就是从公网没法访问到家里的设备，只能访问到路由器，除非在路由器上开了端口映射或 UPnP 。

那么首先要保证路由器的安全，比如管理界面是否允许公网登录，以及密码强度、固件漏洞等等。
其次是看内网有啥服务需要在路由器上开端口映射，这些服务本身是否具备安全措施，比如是否容易被攻击，是否会被夺取控制权，是否会泄露数据，传输数据是否进行了加密（比如没用 TLS 的情况）。

建议能用 VPN 尽量用 VPN ，公网只开一个 VPN 端口，其他都像在局域网里访问一样，特别是远程桌面之类的功能。

@kmvvv #14 部署入侵检测系统，收集访问信息，攻击日志，图表显示方便监控，请问大佬这个有什么插件推荐吗

@geniusmyn pfSense 有 snort 或者 suricata ，至于日志我用 ELK 收集过，5 天磁盘空间占用增加 10 多 G ，最终还是弃了

@simplove 光猫桥接，用电脑拨号就是直接公网 ip 了