关于端口安全问题

哈巴哈比Q

今天使用软件扫描了一下飞牛的端口，发现很多莫名其妙的端口，比如111,3702,11111,15244,49152等。

1.建议官网出一个文档，主要是说明这些端口是干嘛的，使用的是什么应用（如群晖文档对端口有详细介绍以及对于应对的解释）。

2.建议所有官方应用端口有一个更改位置，可以自定义端口，避免被全网扫描到，特别是IPV6下使用很危险，（别说什么IPV6那么多地址，谁会去全网扫描你，这种不切实际的问题，这个是NAS，我相信至少有20%极以上的人会去使用PT或是BT等P2P软件，那么你要下载对方就能获取你IP，如有有心人就会对你IP全端口扫描，然后来推测你这个设备是什么，在干什么，有没有弱口令以及是否存在漏洞等等，在对设备进行这类暴力破解攻击。而且飞牛被黑安装了挖坑程序不是没有发生过。）

3.建议添加防火墙，设置哪些端口可以访问。甚至可以关闭ICMP的探测，这样至少能提高90%的安全系数（群晖这点做的很好，希望官方跟进）。

如今国家在全力推广IPV6，但IPV6设备几乎是半**在网络中，多一道防护多一道安全，谁也不想自己NAS里的资料成为全网公开的秘密。希望官网能重视这个问题。

飞牛产品同学

感谢反馈，我们评估一下~

哈巴哈比Q

最早拨号时代，全民公网IP，上网可以不安装杀毒软件（主要是当时杀毒软件要收费），但必须安装防火墙，一拨号，要不了多久防火墙就提示受到XX攻击，XXIP在扫描你，XXXIP在链接你XXX端口。但自从运营商开始NAT后，大家都在NAT这个天然防火墙后面，逐步个人防火墙就消失在大众视野里，现在的IPV6的出现就和当时全民公网IP一样，所有设备，所有端口都会暴露在公网上。特别是桥接使用软路由拨号的用户，所有获取了IPV6的设备就直接暴露在公网上，光猫拨号用户还好，光猫默认是开启了IPV6防火墙的（除非你手动关闭），也就是所有IPV6数据只出不进(这也是很多用户发现IPV6无法使用的主要原因之一）。希望官方重视这个问题，希望尽快做出评估并排期，十分感谢。

rockzhou

端口必须要管控好，支持LZ