1
hronro 2023-04-14 14:10:14 +08:00 3
没觉得这两个方案在安全性上有什么差异
|
2
sakisaki OP @hronro 主要差别是路由器是否开放端口。目前相关知识匮乏,不能判断路由器开放端口与路由器端口转发哪个更安全,所以发帖问问大家
|
3
maybeonly 2023-04-14 14:14:55 +08:00
安全性没什么区别啊。但是如果你要做互通的话,就会感觉到放在路由器上方便太多了……否则还需要在路由器上把到 wg 网段的路由指向那个 wg 服务器。
|
4
malash 2023-04-14 14:25:07 +08:00
安全性上两者区别确实不太大,都依赖 wireguard 本身的安全性,一旦 wireguard 被突破都会被网漫游的。
不过从可靠性和逻辑上考虑,把 wireguard 放在路由器更合适一点,方便你配置防火墙之类的规则。 |
5
luckjoe680 2023-04-14 14:27:15 +08:00 via Android
@sakisaki 你开启端口转发了 端口也相当于打开了 有什么本质区别吗?
|
6
Daeyn 2023-04-14 14:33:41 +08:00 via iPhone
都很安全只要合理配置防火墙,方案 1 更方便
|
7
xiaoun001 2023-04-14 15:34:02 +08:00 1
你的问题很有深度,我尝试着回答一下:
我的理解如下,我自己是做在 OpenWRT 路由器上面的,以前也有做在内网服务器主机上。 1 、路由器本身的 IPV4 NAT 机制相当于一个防火墙,正常情况下,外面是没有办法访问内网的,因此,可以理解为 NAT 后面的局域网为一个可信任区域。 2 、WIREGUARD 放在路由上,如果区域设置为 LAN ,那么与放内网主机并无实质区别,因为都在可信任区域。 3 、WIREGUARD 放路由器上,区域设置为 VPN ,或者 WAN ,放在了不可信任的区域,那么在路由层面它本身就是和内网是隔离的,需要通过 NAT 机制,因此,理论上它是安全的。 4 、关于端口映射和开放端口,其实用到的是 NETFLITER 机制( IPTABLES )中两个不同的链表,路由开放端口是 INPUT 链表,是针对路由设备本身而言。开放端口转发是在 NAT 和 FORWARD 表,它本身是不对路由设备造成危害,但暴露的是咱们内网(安全区域)。 话说,WIREGUARD 是点对多点的,一个终端配置同时只能在一个终端用,并不能复用,因此,我觉得要破解还是有难度的。 |
8
dude4 2023-04-14 17:58:26 +08:00
放内网主机 A ,需要 A 和外网接入客户端( WG 没有客户端不过暂且这么叫)同时配置路由,否则只能在外网访问内网主机 A
而要在客户端配置路由,如果客户端是安卓设备,基本就需要 root ,在现在这是不小的问题 所以你要访问内网除了 A 之外的机子,就只能把 WG 放网关,起码我的理解是这样 |
9
azure2023us559 2023-04-14 18:08:11 +08:00
在用和方便之间,你要懂得权衡与取舍。同时要知道哪些不能做,哪些是能做的。
另,wireguard 可以绑定在 ipv6 ,现在蜂窝普遍支持 v6 |
10
azure2023us559 2023-04-14 18:10:25 +08:00
我现在是 ipv6 和 v4 都绑定在 udp443 ,一直开放的。
wireguard 建议开启 psk ,防止量子攻击的。定期检查下服务,基本没什么问题。除非有顶级 hacker 。再说了,你又不是什么大人物,人家 hack 你的成本是什么呢? |
11
Jhma 2023-04-14 20:18:21 +08:00
按照楼主的思维,暴露在公网环境中的所有应用端口,都可能会被攻击渗透进来,那干脆不要开放任何端口就 OK 了。
|
12
Jhma 2023-04-14 20:24:28 +08:00
@azure2023us559 网络上就有很多这种 hacker ,利用已知或者未知的漏洞,批量扫描端口,批量植入木马,然后你的全部东西,包括照片,各种账号密码,各种秘密,这些不就是价值很高的东西吗?千万不要轻视个人电脑的安全保护!
|
13
LnTrx 2023-04-16 19:10:12 +08:00
路由器相比内网主机更容易被外网发现。但总体上没有太大区别。
|
14
ppbaozi 2023-04-18 16:57:04 +08:00
能无差别突破 wireguard 的人有更多的事情要忙,可能没空光顾你家
|
15
yhz1114 2023-04-20 19:53:55 +08:00 via Android
安全没有区别,性能有区别
|