防火牆設定 - daniel-qa/Information-Security GitHub Wiki
防火牆設定
為了徹底防止洩漏:
✅ 關閉 WebRTC 洩漏 → 安裝「WebRTC Leak Prevention」擴充套件,設為 disable_non_proxied_udp
✅ 關閉安全 DNS(DoH) → 前往 chrome://settings/security → 關閉「使用安全的 DNS」
這樣你就可以讓:
DNS 查詢走你自己的防火牆控制(例如 netsh 限制只能向 8.8.8.8 查詢)
IP 不會被 WebRTC 洩漏出去(例如連上 Zoom、Google Meet、WeChat 的時候)
🧪 如何驗證兩者成功:
洩漏測試 測試網址 預期結果
WebRTC IP 泄漏 https://browserleaks.com/webrtc ❌ 沒有看到 192.168.x.x 或真實 IP
DNS 洩漏 https://dnsleaktest.com ✅ 只看到你設定的 DNS(如 8.8.8.8)
- Windows 本機封鎖非可信 DNS(透過防火牆)
# 允許送到 8.8.8.8 的 UDP 53
netsh advfirewall firewall add rule name="Allow DNS to 8.8.8.8" protocol=UDP dir=out localport=any remoteport=53 remoteip=8.8.8.8 action=allow
# 阻擋其他 UDP 53
netsh advfirewall firewall add rule name="Block Other DNS" `
protocol=UDP dir=out localport=any remoteport=53 remoteip=any action=block
| 問題 | 結論 |
|---|---|
| 開啟 443 port 會導致 WebRTC Leak 嗎? | ❌ 不會直接導致,但 WebRTC 可能會利用它傳輸 |
| 如何防止 WebRTC Leak? | ✅ 關閉 WebRTC 功能、安裝擴充功能、防火牆封 UDP |
1 . 先關閉輸入/輸出規則,再一個一個打開
2 . 只開輸出規則,輸入一般是不需要開
| 規則名稱 | 方向 | 類型 | 條件內容 | 動作 |
|---|---|---|---|---|
| Block Netman TCP 12315 | Inbound | Port (TCP) | LocalPort: 12315 | Block |
| Block Netman Outbound TCP 12315 | Outbound | Port (TCP) | RemotePort: 12315 | Block |
| Block Netman Program | Outbound | Program | Program: C:\Program Files\Netman\Netman.exe | Block |
| Block Netman Program Inbound | Inbound | Program | Program: C:\Program Files\Netman\Netman.exe | Block |
- 封鎖 WebRTC 常用的 UDP 高埠(包括 STUN 和媒體串流埠),以增加防護力、防止潛在的遠端側錄行為。
# 1. 封鎖 WebRTC 輸出 UDP 埠
New-NetFirewallRule -DisplayName "Block WebRTC Outbound UDP" `
-Direction Outbound -Protocol UDP `
-LocalPort 3478,10000-65535 `
-Action Block -Profile Any
# 2. 封鎖 WebRTC 輸入 UDP 埠(加強防護)
New-NetFirewallRule -DisplayName "Block WebRTC Inbound UDP" `
-Direction Inbound -Protocol UDP `
-LocalPort 3478,10000-65535 `
-Action Block -Profile Any
- WebRTC 封鎖擴充套件推薦:
✅ 適用於 Chrome / Edge 的擴充套件:
🔹 WebRTC Control
官方 Chrome 擴充套件商店提供
功能:
一鍵開關 WebRTC
禁止 IP 洩露(防止本地 IP 被網站探測)
安裝後會在右上角出現一個小藍圓圈(代表封鎖中)
📌 Edge 也能直接使用這個擴充套件,安裝方式一樣(Edge 支援 Chrome 擴充程式)
✅ 適用於 Firefox 的擴充套件: 🔹 Disable WebRTC 封鎖 WebRTC 功能、防止 IP 洩露
安裝後立即生效,可在「附加元件 > 設定」中進一步控制
💡 小提醒:
這類擴充套件會修改瀏覽器的「隱私相關設定」,部分網站(如視訊會議)將無法正常運作。
YouTube、Facebook、一般網站不受影響。
總結建議(若你是極限控管用戶):
| 項目 | 埠號 | 說明 | 建議設定 |
|---|---|---|---|
| DNS 查詢 | UDP 53 | 允許系統解析域名(必要) | 允許 |
| WebRTC STUN | UDP 3478 | WebRTC 用於穿透 NAT | 封鎖(提高安全性) |
| WebRTC 媒體串流 | UDP 10000–65535 | WebRTC P2P 多媒體傳輸埠範圍 | 封鎖(提高安全性) |
| 其他 UDP 埠 | 其他所有 | 其他不特定 UDP 流量 | 封鎖 |
進階:用 Cloudflare DoH(DNS over HTTPS) 這樣一來,你就可以「完全封鎖所有 UDP」,而系統依然能查詢 DNS(用 TCP 443 連線)
DNS over HTTPS
- Cloudflare DNS DoH IPv4:
1.1.1.1
1.0.0.1
如何設定?) Windows 11:
設定 > 網路與網際網路 > 變更介面卡選項
編輯 IPv4 DNS → 指定 1.1.1.1
啟用加密 DNS(DoH)
驗證 DOH 是否生效
Get-DnsClientDohServerAddress
或前往:
應該會顯示:Using DNS over HTTPS: Yes