У меня есть маршрутизатор OpenWRT, в котором разрешены следующие правила для WAN:
Могу ли я отключить некоторые / все из них для повышения безопасности? Маршрутизатор предназначен для обычного домашнего использования.
1 ответ
1
Если вы хотите, вы можете оставить это:
Allow-Ping (он не будет отвечать на запрос ping из Интернета на ваш маршрутизатор)
Allow-ICMPv6-Input и Allow-ICMPv6-Forward (используется для запросов Ping на IPv6)
Я бы на самом деле бросил их.
Фактически, если вы не хотите / не нуждаетесь в IPv6 для своей сети или ваш провайдер еще не предоставляет IPv6 (пока еще недостаточно широко используется). Вы можете бросить все, что имеет v6 в имени.
Кроме того, если вы не используете VPN-туннелирование
Отбросьте последние два (хотел бы получить протокол esp) и (хотел бы установить 500)
ESP - это заголовок аутентификации, добавляемый перед заголовком IP, который используется в таком протоколе, как IPsec, а UDP 500 также используется в аутентификации IPsec на 1-м этапе, но я думаю, что вы могли бы избавиться от них, если вы используете службу VPN от ваш компьютер на внешний сервер, простое тестирование может проверить это, как вы всегда можете добавить их обратно.
Согласно дополнительным вопросам комментариев:
IGMP используется в службах потокового видео / игр и поэтому предлагается сохранить.
MLD - версия IPv6 IGMP IPv4 (делает то же самое, но с IPv6)
Вы можете отказаться от него, если вы отказываетесь от поддержки IPv6 (рекомендуется)
Что касается DHCP Renew на IPv4 UDP 68, то он используется в том случае, если ваш интернет-провайдер хочет отправить вашему маршрутизатору сообщение об обновлении IP-адреса (принуждение вашего маршрутизатора к освобождению и обновлению его общедоступного IP-адреса от интернет-провайдера (очень, очень редко, но случается) )
У IP-адресов есть время аренды, и если ваш маршрутизатор достигнет этого времени, он освободит и обновит IP-адрес (обычно в любом случае получая тот же IP-адрес, что и раньше)
Но бывают случаи, когда интернет-провайдер выполняет техническое обслуживание сети (перераспределяя IP-адреса для другой демографической / потери лицензии для тех внедряемых общедоступных IP-адресов / более крупных IP-областей / меняя маршруты или шлюзы), когда ему необходимо отправить сообщение для маршрутизаторов в освободите и обновите свои IP-адреса, в случае, если ваш маршрутизатор отклоняет это (вы удаляете это правило), ваш маршрутизатор будет продолжать сохранять тот же IP-адрес в той же подсети с тем же шлюзом до тех пор, пока время аренды вашего маршрутизатора не будет сброшено, или маршрут перезагружен, или вы делаете это вручную в настройках маршрутизатора, что, в свою очередь, может привести к тому, что у вас будет тот же IP-адрес, что и у кого-то другого, или у вас тогда не будет шлюза, или вы просто потеряете весь сервис, который исправляется при выполнении один из вариантов перезагрузить роутер или вручную в настройках отпустить и обновить.