你是否发现一打开openclash就发现控制面板里大量的连接数,“连接”页面有源ip并且是公网ip的情况?或者其他的代理插件一打开处理器占用特别高?又伴随着机场流量跑的飞快?这些问题很有可能是防火墙配置不当导致的。

如何解决这个问题?

导致上述问题的主要原因在 “区域” 这一栏,只要将wan口的 “入站数据” 改为 “拒绝” 然后重启openwrt即可。另外如果把wan口的“转发”也拒绝掉就更好了

什么情况导致的这种问题?

有很多作者在做端口映射等外网回家教程的时候都不负责任的把wan口的“入站数据”和“转发”设置为“接受”,这样虽然配置起来方便了但是也埋下了隐患。

允许 “入站数据” 代表Openwrt自身将暴露在公网之下不再有防火墙保护,在互联网上的所有人都可以访问这台路由器。

允许 “转发” 代表着局域网内的设备不再有防火墙保护。

注意:ipv4的设备由于有nat的存在依旧有一定的安全性,但ipv6设备将暴露在互联网之下。

一些科学上网软件(如Clash)根据用户的配置可能会开启socks5或是http代理端口,这些端口在没有防火墙保护时可以为互联网提供服务,它们通常有一个默认值而大家又不会去修改,这些默认的端口就会成为黑客的扫描目标,因为这些端口除了科学上网软件基本不会有其他程序用。

另一方面,Clash会有一个控制api,这个api暴露在公网也会导致严重的问题,再配合Clash的路径穿越漏洞严重性会进一步增加(已被修复)。

所以,还是不要关闭防火墙比较好,建议选择通信规则功能添加指定端口放行,如果条件允许可以通过各类VPN软件连接回家后再使用家中的代理服务。