相信大家上网一般就两种,一种是光猫拨号,一种是通过路由器拨号,两者的差异在于:
如果是光猫拨号,路由器再共享给其它设备上网会多一层Nat,其次部分网友的部分设备又通过光猫共享上网,也就说家里的设备大部分通过路由器,小部分通过光猫,意味着两个不同的路径上网导致了Nat隔离。由于光猫是顶层联网,所以路由器的设备可以访问光猫上网的设备,但是光猫上网的设备无法访问路由器共享上网的设备,而你内部的一些如NAS往往就在路由器下面。
Nat简单来看因为主要用的是锥形网络设计,什么是锥形?如下:
大概就是上面的效果,光猫和路由器其实都是锥形,上面的头很尖,下面的口子很大,什么差异呢?
首先第一点,互联网从外部访问光猫内部,由于是Nat,由于是锥形Nat,直接是被拦截的。所以你需要端口映射,防火墙放行,或者改成非锥形网络(但是目前因为网络安全的缘故往往没得选,只有锥形网络,包括你家的华硕目前新固件都没得选了,因为国家层面要求的)。当然,同理光猫部分的设备往路由器访问也是一样的:
所以光猫层面的设备要访问路由器内部的设备,一样会被默认(防火墙)阻断了,非要访问就需要在路由器上做端口映射,或者DMZ非军事区等设置。原来在IP v4时代,因为IP v4的地址比较单一,往往也可以是固定的。而到了IP v6面临一个比较尴尬的问题:IP v6不分内外网,所以原则上来讲没有所谓的内部IP v6地址,所以这个地址压根就是动态的,原来的端口映射就没法长期固定使用了,它变一次你得重新配置一次!!!但是我们前面也说了,锥形结构的特点就是上面头小,进不来(是默认设定的机制),下面口子大默认就是畅通无阻的,大概就是这样:
所以你只要开通了宽带,不论是路由器拨号还是光猫拨号,访问上一层或者说互联网都是畅通无阻的。所以也不需要去防火墙做规则,也不需要做端口映射。所以如果我们是光猫拨号,不仅仅要路由器放行:
比如在路由器的IP v6防火墙中【关闭并应用】,同时还需要登录光猫,光猫一般的管理地址在光猫背面:
就上面这个,路由器下的设备也是可以直接访问的,输入http://IP地址即可访问,虽然光猫背面一般给的是user账户,并不是管理员账户,但具备关闭防火墙的权限,比如:
如上登陆后进入【安全】选项页面,可以看到有个【IP v6防火墙开关】,这个你把它取消了勾选肯定没问题,但是如果顶部的【防火墙开关】还是启用的,往往还是无法从互联网访问路由器的设备:
你甭管这个防火墙是什么级别,反正你只要【启用】了,往往就无法访问内部,所以最终还是需要把勾选去掉,然后并保存,也就说完全放弃防火墙的防护功能,才能畅行。当然这里就有问题了,原则上来讲把光猫的防火墙关闭了,往往就丧失了所有的防护,这样做是不推荐的。
Tips:大路在中兴路由器做测试的时候也发现,无论你把防火墙级别降低到多低,只要开了就访问不了,最终的办法是直接关闭防火墙,所以有时候我更推荐华硕路由器,因为至少它还有额外的安全防护。
所以我们通常选择光猫桥接模式,即光猫是一个透明设备,不负责拨号,只负责光纤转网线做翻译功能。然后由路由器拨号,比如我们用华硕的路由器,即便关闭了【防火墙】,如果你需要安全,可以启用:
华硕是少数拥有IPS功能(这个就是我前面说的额外的防护)的家用路由器,它拥有一些定期更新的规则库(当然误报其实蛮多的),所以实际上我从来不开这个,所以只要不把自己的IP v6地址胡乱的分享到互联网,实际也没啥,反正这玩意定期改变的,如果你用了DDNS做自动解析,那么虽然IP v6地址是变动的,但是域名是不变的。所以你的DDNS使用这些域名最好也是不那么容易猜到的,除非你末端的设备也又防护,比如极空间的NAS:
你可以看到大路哥他妈的居然还是不用,因为原则上来讲,我只要启用这个就行了:
你只要走互联网访问,就需要二次验证,有二次验证往往就够了,除非极空间NAS、或者说你后端的设备有其它绕过的安全漏洞,那么才会形同虚设。所以在内部要使用各种系统,只要IP v6是放开的,不要胡乱选择,最好是选择成熟的、相对靠谱的。实在不行你NAS里面搞一个软WAF做代理也行。
所以简单来看有时候我们使用自己的域名,借助DDNS往往还没那么安全,有时候比如使用极空间自己的IP v6自动解析的动态的地址,往往还更安全一些。因为地址都是一样的,比如极空间用的这个:
你输入正确的手机号和密码,且启用了短信二次互联网访问验证,就更安全了。
如果我们内部的一些设备,笔记本、PC开放了远程桌面3389访问,基于DDNS,如我写的这篇:
那么最好你用的二级域名绑定的时候,二级域名复杂一点,英文+数字是必须的,而且最好定期修改下。
所以未来,或者说当下,如果我们家里的网络有很多设备,你觉得重要。你可能需要购买一个入门级的企业防火墙来当作核心路由来使用,相对来说【更安全更有保障】一点,或者说基于NAS等设备搞一套【堡垒机系统】也行,简单来说就是你需要这样的需求,开放得越多,那么投入的也要越多,哪怕是时间。
当然有时候我们也可以借助华硕路由器的如下功能:
通过加密隧道的形式来访问内部设备,虽然麻烦一点,但是更安全。
以上主要是个人的见解,对于一些不太了解安全、网络的朋友,多少会提供一些思路,也可以在日后类似的需求上少走一些弯路。另外有些粉丝有些无解,这里简单说下,大路哥并不是搞网络的,我是搞网安的,它是【网络安全】的简称,也可以说是安防工程,但不是做摄像头监控哈,摄像头监控只是安防的一个小小的部分,我们主要是抵御黑客攻击的。虽然我裸辞多年离开了这个行业,但也经常关注这块。而网络这个东西有一些基础深入一点其实就不复杂,属于兴趣爱好,本身也是自己有相关的需求。比如无线领域其实我一点都不专业,但是你要说家用、应用层面我可能反而研究得更深一些。
我觉得个人应用领域相关的太少了,大厂也不关注,那么我们爱好者可以多研究,多分享。
今年大路哥思考了一段时间,觉得还是写一些对大家实实在在有用的东西,不搞哪些有的没的。但是要吃饭和深入一些其它的研究,商业测评还是会接的,不过我还是会提供小额付费的额外内容补充供参考。
