网络安全

局域网中的设备

白名单模式

默认禁止全部访问。一刀切是最安全的。要公开服务，可以设置端口转发

路径：OpenWRT > 网络 > 防火墙 > 常规设置 > 转发：拒绝

黑名单模式

默认允许全部访问。只建议网络专家使用。要禁止特定的服务被公网访问，可以设置通信规则。

路径：OpenWRT > 网络 > 防火墙 > 常规设置 > 转发：允许
路径：OpenWRT > 网络 > 防火墙 > 区域 > wan > 转发：允许

路由上的Clash

因为Clash的实现不标准，导致其UDP代理能被利用。如果不保护，那么主路由上的Clash就是别人的免费节点。

解决方法

路径：OpenWRT > 网络 > 防火墙 > 通信规则
添加通信规则：名称："防止Clash被利用"（随意），源区域："wan"，目标区域："设备（输入）"，目标端口："7890-7893"，操作：丢弃。

NAS

在家用情况下，由于NFS没有有鉴权系统，所以谁都能访问。因此，保护NAS的隐私十分紧急、必要。

检测 NFS 的公开

因为一般人只有Windows，那么本教程以Windows为主

准备

启用 NFS 服务：按Win + S，搜索 Windows 功能。勾选NFS 服务的所有子项。重启本机。

打开TrueNAS 的WebUI，查看其公网 IPv6 IP，复制到记事本。在内网中尝试挂载：

cmd

mount -o nolock \\[240e:x:x:x:x:x:x:x]\mnt  Y:
net use Y: /delete # 卸载

公网连接

如果电脑不在家里，那么关闭WireGuard等VPN就可以让电脑成为公网中的一员。如果在家，可以让手机关闭WiFi、开启蜂窝网络，通过USB共享网络。然后禁用原网卡，强制流量经由手机传输。

DANGER

如果你仍然能连接到NAS，那么恭喜你：这代表它的内容完全公开在网上。

Linux

参考临时挂载

保护 NAS

路由法

在笔记本中编辑TrueNAS的 v6 IP，得到它的V6 IP 选择器。
方法：修改前4节为0，后面加上/::ffff:ffff:ffff:ffff。
例：240e:xxxx:xxxx:xxxx:eeee:ffff:1111:2222 -> ::eeee:ffff:1111:2222/::ffff:ffff:ffff:ffff

路径：OpenWRT > 网络 > 防火墙 > 通信规则添加通信规则：名称："保护 - NAS"（随意），源区域："wan"，目标区域："任意区域（转发）"，目标地址：上文得到的选择器，操作：拒绝。

NFS 配置法

在TrueNAS的webUI，对共享目录的根目录添加一个值为局域网范围的网络范围，如192.168.0.0/16

局域网IP范围

192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12, fc00::/7, fe80::/10

网络安全 ​

局域网中的设备 ​

白名单模式 ​

黑名单模式 ​

路由上的Clash ​

解决方法 ​

NAS ​

检测 NFS 的公开 ​

准备 ​

公网连接 ​

Linux ​

保护 NAS ​

路由法 ​

NFS 配置法 ​