最近「防火墙」「WAF」这些词出现得越来越频繁,大家对安全这件事,其实已经有了比较清晰的认知。上期我们已经教大家如何部署 雷池 WAF 来防护 NAS(移步公众号:云上小牛),也有网友提到 lucky 自带的 WAF 同样可以使用,感兴趣的可以去翻一下上期文章的评论区。至于防火墙,不少人反馈:看得懂名词,但规则一多就开始犯迷糊。所以今天这篇,就单独聊一件事:飞牛自带的防火墙,到底该怎么设置。
很多人一看到防火墙的图形界面就头大,其实不是你不懂网络,而是官方说明太容易把人绕晕。我们先把几个最关键、最容易混淆的概念说清楚。
先放一张我最终设置的截图,很简洁,你也可以像我一样设置,别着急,我先讲原理,再教大家如何配置
一、什么是入站(Inbound)
记住一个字:入。
- 外面的电脑 / 手机 / 服务器
- 想要主动连进你的 NAS
这类流量,统统叫 入站。举个例子:
- 你在外网用浏览器访问 NAS 的管理页面
- 手机 App 连接 NAS
二、什么是出站(Outbound)
出站刚好反过来,重点是 “出”。
- NAS 去访问外部网站
- NAS 连接第三方服务
- FRP类主动请求服务
这些都是 出站连接
三、什么是“默认允许”
当一个访问请求 没有命中任何已有规则 时:直接放行
"我只拦我明确不想要的,其他尽管进来"
四、什么是“默认拒绝”
当一个访问请求 没有命中任何已有规则 时:直接拒绝
"我只放我明确允许的,其他的别想进来"
明白以上概念后,再结合起来,其实就知道防火墙该怎么设了。
入站我采用默认拒绝。原因很简单:我只开放我确实需要对外提供服务的端口,其他一律拒绝。这样做的好处是,哪怕以后系统多了什么新服务、新端口,只要新添加一条即可。
出站我采用默认允许。因为说实话,出站你限制个锤子?你的 NAS 访问外面的精彩世界,还能访问出什么花来?更新、插件、第三方服务,全都是出站请求。真把出站规则卡太死,反而给自己添堵。
举个最现实的例子,如果你出站限制过严,
你甚至连飞牛官方服务都连不上。比如 fn connect,本身就是通过 TCP + UDP 的 7200–7210 端口和官方服务器通信的,这些全是出站流量。
所以我的做法很简单:
入站:默认拒绝,只放必要端口;
出站:默认允许,基本不管。
如果你的行为是默认拒绝,又设置了拒绝规则,那就是多此一举,画蛇添足!比如:
还不懂?那就跟着我一步步配吧!
入站设置
让我们先设置入站规则。打开 设置 → 安全 → 防火墙,默认是关闭状态。开启后可以看到系统已经预设了一些服务规则。
我的建议是:全部删除。规则太多,很容易把自己看晕,你又没有那么多服务。入站规则本身就应该从最简单的开始,只保留你真正需要对外开放的服务。
首先点击 高级设置,确认局域网默认放行。这个基本不需要过多解释:你的局域网你都防不住,那还开防火墙干什么?
既然已经在你局域网里,默认就应该是你信得过的设备。
另外,通过 VPN 组网、反代后访问进来的连接,也会被识别成局域网流量,这属于正常情况,不用纠结。
接着添加入站规则,把右侧策略设置为默认拒绝,然后只添加你需要放行的服务即可。
以我自己的情况为例,对外只有一个 lucky 的监听端口,那就只放通这一个端口就够了。最好再限制来源 IP,比如只允许国内访问;如果你有更精细的需求,也可以进一步缩小到更小范围的 IP 段。
如果你还有其他对外开放的端口,比如
WebDAV 的 TCP 5005 / 5006
WireGuard 的 UDP 51820,
按同样思路自行添加对应规则即可。
建议每一条规则都写好备注。时间一久再打开防火墙,你大概率已经不记得某个端口是干什么用的了,这时候看备注比看端口快得多,也不容易误删、误改。
针对PT玩家,补充以下规则,用于QB、TR监听
提醒一下,NAS的虚拟机,属于NAS内部,访问虚拟机,会先经过NAS,填写规则时也需要考虑进去。
到这里,入站规则就设置完成了。按上面的方式配置,可以达到下面几个效果:
1️⃣ 国外 IP 直接进不来
2️⃣ 国内只有你明确放行的服务端口可以访问
3️⃣ 其他所有访问请求,全部拒绝(无需画蛇添足增加拒绝规则)
出站规则
接下去是出站规则,这个就更简单了。操作还是一样:先把所有预设服务全部删除,然后把默认行为改成允许。
还是那句话,出站你防个蛋呀? NAS 出去无非就是更新、连服务、拉资源。
这样就可以了。但是话又说回来,如果你真的有某种特殊需求,比如:我的 NAS 绝对不允许出国! 那怎么办?很简单,按下图照抄就行。添加拒绝tcp和udp两条规则。
又比如说,有几个 IP 是木马网站,我不想我的 NAS 去访问它,怎么办?
一样的,照抄下面的规则就行 ↓↓
不过我本人并没有这些需求。非常清爽,一目了然。
防火墙这东西,其实一点都不复杂,复杂的是你一开始就被各种“预设规则”和“安全名词”带跑了。想清楚谁能进、谁能出,然后坚持一个原则——不需要的就别放,剩下的只是照着需求填规则而已。
别怕删规则,也别迷信默认配置。你自己看得懂、几年后还能看懂的防火墙,才是真的安全
