LEDE/OPENWRT远程访问系列教程(番外篇)：提高路由器的安全性

在前两期文章中5L科技介绍了 LEDE/OPENWRT 固件路由器如何配置 DDNS 绑定自定义域名实现公网远程访问。

同时还可以为自定义域名绑定受信任的证书实现 HTTPS 访问 ,  后续5L科技还将介绍如何配置IPv6实现公网访问。

不过由于测试进度问题暂时我们还没有搞定 IPv6 的端口转发问题 ，所以在这里我们先插播番外篇介绍安全增强。

实现路由器公网访问对部分用户来说是有必要的，因为有时候确实需要公网访问例如局域网换新以及访问服务器。

如果你不需要的话5L科技强烈建议你禁用公网访问，因为一旦配置公网访问意味着你的路由器将暴露在互联网上。

网上有各类脚本和机器人无时无刻不在探测设备寻找潜在漏洞，一旦发现漏洞或弱密码这些机器人就会趁虚而入。

如果路由器被黑客拿下那局域网里的设备也会变得非常危险，包括但不限于利用漏洞安装勒索软件或挖矿软件等。

所以除非必要否则5L科技绝不推荐大家开启公网访问，如果真的需要使用公网访问，建议按照以下策略进行配置。

1.必须使用高强度密码：由于默认用户名root已经暴露，所以如果你继续使用弱密码的话很容易遭到机器人入侵。

推荐用户使用 20 位以上大写字母+小写字母+数字+特殊符号组成的密码，若使用密码管理器的话可以自动生成。

例如这样的密码：CECL3&9i-cGF6@FRmRGj2*bkk

2.必须及时升级固件：OPENWRT项目团队每天都会发布各类更新，多数是已知问题修复但有时也有安全性问题。

建议用户定期升级路由器固件以修复潜在的安全弱点，因为一旦有严重漏洞没有及时修复可能很快就会遭到攻击。

3.禁用SSH公网访问：通过DDNS和端口转发可以实现SSH公网访问路由 ，但若开启此功能同样会降低路由安全。

如果确实使用SSH公网访问请在系统的管理权里进行配置，配置公私钥访问同时禁用root账户直接使用密码登录。

另外也请修改SSH端口不要使用默认的22端口号 ，不用默认端口+禁止密码登录+私钥登录可以显著提高安全性。

4.关闭路由器PING功能：部分脚本和机器人会预先检测 IP 是否回应，如果有回应的话才会继续使用脚本去探测。

LEDE固件默认情况下是开启IPv4-icmp 的，也就是允许PING，建议用户关闭毕竟这个功能多数用户完全用不上。

操作路径：网络、防火墙、通行规则、Allow-Ping、将规则的启用去掉。 去掉后PING路由时会直接无任何回应。