我有一个 OpenWRT 路由器,它允许从 WAN 使用以下规则:
我可以禁用部分/全部功能来提高安全性吗?该路由器仅供普通家庭使用。
答案1
如果您愿意,可以删除这些:
Allow-Ping(它不会回复从互联网到路由器的 ping 请求)
Allow-ICMPv6-Input 和 Allow-ICMPv6-Forward(用于 IPv6 上的 Ping 请求)
我真的会删除这些。
实际上,如果您不想要/不需要 IPv6 用于您的网络,或者您的 ISP 尚未提供 IPv6(尚未足够广泛使用)。您可以删除名称中包含 v6 的任何内容。
此外,如果您不使用 VPN 隧道,请
删除最后两个(wan to lan esp protocol)和(wan to lan upd 500)
ESP 是在 IP 标头之前添加的身份验证标头,用于 IPsec 等协议中,UDP 500 也用于第一阶段的 IPsec 身份验证,但我认为如果您使用从您的 PC 到外部服务器的 VPN 服务,您可以摆脱它们,简单的测试可以验证这一点,因为您随时可以将它们添加回来。
根据附加评论问题:
IGMP 用于视频/游戏流服务,因此建议保留。
MLD 是 IPv4 IGMP 的 IPv6 版本(功能相同,但使用 IPv6)
如果放弃所有 IPv6 支持,可以删除它(建议)
至于 IPv4 UDP 68 上的 DHCP 续订,这用于您的 ISP 想要向您的路由器发送 IP 续订消息(强制您的路由器从 ISP 释放并续订其公共 IP(非常罕见,但确实会发生)
IP 地址有一个租用时间,如果您的路由器达到该时间,它将释放并续订 IP(通常会导致 IP 与之前相同)
但在某些情况下,ISP 正在进行网络维护(将 IP 重新分配给不同的人口统计/这些公共 IP 的许可证丢失/正在实施更大的 IP 范围/更改路由或网关),他们需要发送消息让路由器释放和更新他们的 IP,如果您的路由器拒绝此消息(您删除此规则),您的路由器将继续保留同一子网上的同一 IP 和同一网关,直到路由器的租用时间重置或路由重新启动或您在路由器设置中手动执行此操作,这反过来可能导致您拥有与其他人相同的 IP,或者您没有网关,或者您只是失去所有服务,通过执行重新启动路由器或在设置中手动释放和续订的选项之一可以纠正这些问题。