最近飞牛NAS被系统性的入侵，闹得人心惶惶，虽然官方连续推送了1.1.15 1.1.18两个版本，但是仍然建议在 NAS设备开放公网访问权限时，优先采用安全访问方式（加密隧道/2FA验证/开启防火墙等），以进一步降低潜在安全风险。
我个人有2台NAS，一台自己组的飞牛，一台绿联DXP4800.虽然暴雷的是飞牛，但是绿联也把防火墙打开吧，实在是吓到了。下面主要以飞牛NAS举例，绿联NAS的防火墙也是差不多的逻辑。只是界面略有不同而已。
配合前面那篇 去密码化的文章食用更佳

什么是防火墙？

防火墙是一种网络安全系统，旨在监控和控制网络流量，根据预定义的安全规则决定是否允许数据包的传输。其主要功能是保护内部网络免受外部威胁，防止未经授权的访问，并在企业网络和互联网之间建立一道安全屏障。通过流量过滤、阻止恶意攻击和记录网络活动，防火墙有效地提升了网络的安全性和稳定性。作为网络安全的第一道防线，防火墙在企业、机构和个人用户的网络环境中发挥着关键作用

但是如果你不会配置防火墙只启用防火墙那么这个防火墙就是形同虚设，没有任何用，因为防火墙的默认规则是通过所有流量。如果随便设置也会导致你无法正常访问到控制台，所以飞牛的防火墙做过防篡改，默认的规则重启就会恢复所以不需要太担心。

是否需要开启防火墙？

绝大部分的人其实没有必要启用，因为 IPV4 都是经过转发的，如果需要对外访问就得在路由器上面做端口映射流量才可以进来。

如果你有 ipv6，由于 ipv6 的范围非常广，不存在扫描，但是需要给别人访问但是不希望让他访问我的其它端口，这个时候我们可以用到防火墙来阻止。否则也没有必要。

这个防火墙开启后局域网 IP 是可以访问的，是针对公网 IP 的。

如何开启防火墙

飞牛NAS：

绿联NAS：

如何配置防火墙

先用fnOS系统来举例说明：

默认动作

• 允许访问：如果列表中不存在的规则，默认允许通过，一般搭配拒绝规则
• 拒绝访问：如果列表中不存在的规则，默认拒绝通过，一般搭配允许规则

一般将默认规则设置为拒绝 如果需要访问的就单独做允许。如果是默认允许，那么你做的规则应当是拒绝。

网络协议

网络协议： 网络流量也有协议之分，简单记一下

• TCP：需要进行三次握手和四次挥手，优点据传输过程中使用确认机制、重传机制和流量控制来保证可靠性。
• UDP：是一种简单的、无连接的传输层协议，用于在网络中传输数据。
• 与 TCP 不同，UDP 不提供可靠性、顺序性和流量控制，但它具有低延迟和高效的特点，适合对实时性要求较高的应用。
• ICMP ：主要用于诊断网络问题、检测网络可达性和报告错误条件。是网络管理和故障排除的重要工具，常见的工具如 ping 和 traceroute 都依赖于 ICMP。

端口范围：1-65535

IP 地址

常用填写方式

1. 0.0.0.0/0 表示全部 IP
2. 直接填写一个 IP 地址
3. 10.10.10.0/24 表示一个 IP 段 43.56.123.0 - 43.56.123.254 最后一个斜杠后面跟[子网掩码]

其它

• 权限：此条策略，允许则代表符号上面的规则允许流量。拒绝则代表符号上面的规则拒绝流量。
• 状态：此条策略是否生效
• 备注：此条策略进行备注增加辨识度

入站规则

流量的入口，体现在别人访问你的时候，流量进入系统的时候。

此条规则可以理解为 来源 5244 的 TCP 协议流量允许进入，状态生效，此规则当前立即生效

出站规则

流量的出口，体现在系统中的联网软件需要对外访问时候，流量出系统的时候

一般不需要做出站策略，除非需要禁止某个应用对外联网

如果这里拒绝所有流量，会导致所有应用无法联网！！ 所以一般出站默认即可，不需要改。如果需要改的话和入站配置方式一样。

规则排序

可以按住某个规则然后调整匹配顺序。适用场景比如无法调整防火墙的默认规则的时候，首先可以设置一个放通常用的端口，然后再设置一个全部拒绝策略。这样就实现了一个默认拒绝动作，如果我们需要放通某个端口，我们可以在拒绝的上面添加放通策略。

规则默认从上往下的，需要放行的放到上面，最下面一个拒绝全部就行

绿联也差不多的方法，只是界面略有不同：

另外:飞牛/绿联NAS上虚拟机的SSH端口也受本机防火墙的限制，如果虚拟机无法连接，记得防火墙设置里放开虚拟机的SSH端口号。

如何查看当前的端口？

# 查看所有监听端口
netstat -tuln

# 查看所有连接（包括已建立的）
netstat -tun

# 查看所有端口和进程信息
netstat -tulnp