【bcseputetto】 在 https://github.com/istoreos/istoreos/issues/1132 发布:
目前iStoreOS的防火墙已经对 WAN是PPPoE协议时做出了对策,将WAN入站默认设置为丢弃,避免用户WAN是PPPoE时获取的是公网IP,而导致默认密码或者弱密码被扫被骇的情况。
但对于WAN为DHCP客户端时则默认WAN入站为接受。
考虑到国内的家庭网络环境,WAN是DHCP客户端的情况下的确基本上没有多少能直接获取公网IP的用户,大部分都是作为二级路由。但少部分国内用户可能跟上列聊天截图中的海外用户一样,可以直接通过DHCP获取到公网IP,例如下列江苏电信 5000Mbps的用户
江苏电信 5000M 宽带体验
文中提到认证方式为IPoE,而非PPPoE,光猫后面的设备DHCP可以直接获取到公网IP,最多可以提供16 个公网 ipv4 ,16 个 /60 ipv6 pool
在这种情况下,iStoreOS在WAN为DHCP客户端协议时,将WAN区域入站默认设置为接受,就会是一件比较危险的安全问题。特别是用户还没有能力察觉自己处于一个暴露在防火墙外边的状态。
希望能重新考虑一下WAN为DHCP客户端时的防火墙默认设置。避免在出现上图中的情况,特别是有海外的用户拿iStoreOS作为主路由时,DHCP直接拿到公网IP的可能性会比国内大得多。