为什么需要自定义过滤规则集
家里装了摄像头,想从外网查看实时画面,于是设置了端口映射。但没过多久,发现路由器日志里一堆陌生IP在尝试连接你的设备。这种情况并不少见,开放端口就像在家门口挂了个“欢迎光临”的牌子,来的人不全是客人,也可能有小偷。
这时候,自定义过滤规则集就派上用场了。它能帮你筛选哪些IP可以访问映射的端口,哪些直接拦下,相当于给大门加了个智能门禁系统。
过滤规则的基本组成
一条过滤规则通常包含几个关键部分:源IP地址、目标端口、协议类型(TCP/UDP)、动作(允许或拒绝)。比如你想让公司网络能访问家里的NAS,但其他人不行,就可以写一条规则,只放行公司公网IP对特定端口的请求。
大多数家用路由器在“防火墙”或“安全设置”里提供自定义规则功能,位置可能叫“访问控制列表(ACL)”或“高级防火墙规则”。
实际配置示例
假设你映射了TCP 8080端口到内网192.168.1.100这台设备,现在只想让IP为203.0.113.45的用户能访问,其他一律拒绝。
进入路由器后台,找到“自定义规则”或类似选项,添加一条新规则:
规则名称: 允许公司访问NAS
源IP地址: 203.0.113.45
目标端口: 8080
协议: TCP
动作: 允许再添加一条拦截规则:
规则名称: 拦截其他所有访问
源IP地址: 0.0.0.0/0
目标端口: 8080
协议: TCP
动作: 拒绝注意顺序很重要,防火墙规则是按顺序匹配的,一旦命中就不再往下走。所以允许规则必须放在拒绝规则前面。
批量屏蔽恶意IP段
如果你发现某个地区频繁扫描你的端口,比如来自198.51.100.0/24网段的大量试探性连接,可以直接封掉整个IP段。
规则名称: 屏蔽高风险地区IP
源IP地址: 198.51.100.0/24
目标端口: ANY
协议: TCP
动作: 拒绝虽然粗暴,但有效。特别是当你根本不需要那个地区的用户访问时,直接拉黑省心又省力。
动态IP用户的应对策略
有些用户自己宽带也是动态IP,比如朋友临时要远程帮忙调试设备。这时候可以结合DDNS和临时规则。登录路由器后台,临时添加他的当前公网IP,用完再删。或者设置一条规则,只在晚上8点到10点生效,避免长时间暴露。
部分高端路由器支持基于时间的规则调度,普通用户也可以通过脚本定时修改规则,实现类似效果。
别忘了测试和日志监控
规则设完不是就完了。用手机切到移动网络,试试能不能正常访问。同时打开路由器的日志功能,观察是否有误拦或漏拦的情况。看到不该出现的IP还在连接?说明规则没生效,回头检查格式和顺序。
自定义过滤规则集不是一次性的设置,而是需要根据实际访问情况不断调整的过程。就像你家小区的门禁,刚开始可能只认几张脸,后来慢慢记住快递员、外卖员的规律,越用越顺手。