路由器怎么暴露指定内网主机,在IPv6情况下
前情2:IPv6可用状态目前是怎样的?
前情2:现在的万兆光猫还要改桥接吗
标题可能描述的不太准确
在折腾了一圈后几处窝点的内网设备都拿到IPv6地址
但是连通性测试第一步Ping就不过
经过一番资料查阅,说是路由器(光猫如果没有桥接的话)默认屏蔽了IPv6的入站
很多路由器配置页面也没有提供IPv6防火墙的配置,只能打命令
如果关闭路由器的防火墙,我自己的设备软件肯定升级到最新
但是毕竟内网其它人的设备我管不到,把他们暴露在公网感觉不太好
有咩有办法,只开放防火墙给希望在公网的设备?
希望有使用IPv6的坛友谈谈使用的方案
THX~
方案就是打命令开放端口
openwrt好歹还有个webui界面可以操作,没有的话只能靠iptable命令我也不会
华硕/梅林有这种设置啊 家用宽带IPV6也是变动的吧?防火墙该怎么设置 浔箐 发表于 2023-2-2 15:50
家用宽带IPV6也是变动的吧?防火墙该怎么设置
对,这正是我疑问之一
难道写个脚本,用MAC/用主机名判断么 这要求就是得自己配置路由的防火墙吧,ROS是可以配的,我以前看过点作为了解,现在我家宽还有公网IPv4所以最后没有实际配置试过,比如这个:
http://www.irouteros.com/?p=1173 之前莫名其妙部分网页打不开,挂自己的阿里云香港跳板又能打开。排查后发现居然是因为局域网ip自动分配成ipv6的关系,适配器选项里直接关了ipv6后所有症状消失… 本帖最后由 缘去皆空 于 2023-2-2 17:09 编辑
关闭ipv6防火墙。不过我都是玩ipv4的内网多层端口转发,仅路由器获取公网ipv6,内网禁用ipv6。 DMZ就行
本帖最后由 回忆and无语 于 2023-2-2 19:41 编辑
ip6tables,允许内网网卡br0主动发起连接:
ip6tables -P FORWARD DROP
ip6tables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A FORWARD -m state --state INVALID -j DROP
ip6tables -A FORWARD -i br0 -j ACCEPT
nftables,允许wg0和br0主动发起连接:
table inet filter {
chain forward {
type filter hook forward priority filter; policy drop;
ct state vmap { invalid : drop, established : accept, related : accept }
iifname { "wg0", "br0" } accept
}
}
=====分割线======
刚才没认真看,上面的防火墙规则是允许内网主动发起连接,不是允许连接指定设备。ipv6的的地址是会变化的。要不写个脚本定期获取指定主机地址该防火墙规则,或者直接给内网主机配个fc00::/8的地址然后dnat过去(类似于DMZ)
iptables是没法根据目的MAC匹配的,只能根据来源MAC匹配规则
ip6tables -A FORWARD -m mac --mac-source 00:00:11:11:22:22 -j ACCEPT
别说v6,哪怕是v4你不固定的话一样做不了防火墙规则的,老老实实手动分配v6的IP吧 为啥开放?vpn穿回去当内网用不好吗? 我反正等ipv6全放开再说...
全放开了, 配套的安全措施软件的坑也会被大家踩完的... 我在路由器上放了一个ss服务端,外网手机和电脑的客户端连上就可以访问内网了,用起来感觉比vpn方便多了。
—— 来自 samsung SM-G9910, Android 13上的 S1Next-鹅版 v2.5.4 ipv6防火墙这块挺不好办的,因为都是公网地址,没有nat,反到不好做规则匹配,至少没法按ip来匹配,因为每次pppoe括号都会分配新的ipv6头(前64位),虽然后64位是固定(依靠mac生成),但目前至少我用的路由系统(routeros),在防火墙规则匹配上没法只匹配后64位。
所以我目前的办法一个是限制ipv6使用范围,给需要用到ipv6的设备(主要就是nas,因为ipv6等于扩大种子范围)直接接到路由器特定接口上,只针对这个接口分配ipv6地址,其它设备还是正常用ipv4。
防火墙方面,只能用端口来匹配,只开放bt软件用到的端口,其它一律阻塞,这是在目前情况下我能想到的办法 liwangli1983 发表于 2023-2-3 10:08
ipv6防火墙这块挺不好办的,因为都是公网地址,没有nat,反到不好做规则匹配,至少没法按ip来匹配,因为每 ...
OpenWrt可以用这种方式匹配后缀
https://p.sda1.dev/9/37f9dc6279cad4f396bae1eb6198aa7e/IMG_20230203_101353.jpg 核证 发表于 2023-2-2 19:00
内网设备一般会有两种IPv6地址,一个是随机生成后缀,一个是通过MAC地址生成固定后缀,把固定后缀填进防 ...
win和linux下,默认情况下为了安全,每隔一段时间都生成一个随机后缀的地址,用于对外连接用,除非改配置指定用那个固定后缀(但这样又不安全),所以防火墙还是匹配端口和协议吧 0WHan0 发表于 2023-2-3 10:16
OpenWrt可以用这种方式匹配后缀
ros目前不可以,另外主要问题是如果用固定后缀对外网访问,有安全隐患,所以匹配端口和协议相对安全
另外ros新版有ipv6 nat了,不知道能不能用ipv6内网地址,类似ipv4那种用法 核证 发表于 2023-2-3 10:35
本来就是为了让万物互联取消NAT才把IPv6设计成这种分配机制而不是单纯基于IPv4增加长度。
而且随机后缀主 ...
我刚用ipv6看到可以从外部主机ping通内网每个设备时也很兴奋,但马上就想到这样暴露在公网上是不是不安全
ipv4时代残留的习惯了
linux下我记得是可以不使用随机后缀的,win就不太清楚了,我目前没让win机器使用ipv6还 其实用上ipv6第一个碰到的概念个的问题就是,这玩意儿为啥不用dhcp就能获取地址,后来一番研究才知道ipv6直接通过slaac来分配地址(当然也还是可以用dhcp),所以防火墙设置时要开放这方面的协议和端口,否则就无法让下级设备获取到地址
不过这个对于普通的民用路由器应该厂家出厂时都弄好了,不用担心,但ros/openwrt这种配置时得注意了 liwangli1983 发表于 2023-2-3 10:39
我刚用ipv6看到可以从外部主机ping通内网每个设备时也很兴奋,但马上就想到这样暴露在公网上是不是不安全 ...
屏蔽外部访问,IPV4和V6没啥区别,比如你内网开放个80端口,IPV4地址外部访问不了没问题,IPV6是可以外部访问80端口的,除非你在主机上做防火墙配置,禁止访问,太费事了。所以老实禁止外部访问内网IPV6最安全 浔箐 发表于 2023-2-3 10:53
屏蔽外部访问,IPV4和V6没啥区别,比如你内网开放个80端口,IPV4地址外部访问不了没问题,IPV6是可以外部 ...
路由上做了防火墙配置,只让特定的端口和协议能通过路由的ipv6防火墙,目前暂时只能先这样 可以考虑使用SLAAC (Stateless Address Autoconfiguration) 和 EUI-64 (Extended Unique Identifier 64) 生成的IPv6地址。这类地址由路由器下发的64位前缀和使用EUI-64规则生成的64位后缀组成,其中后缀则是由以太网地址扩展得到。EUI-64生成的后缀有很明显的特征,其会在24位间插入16位的0xFFFE,形成64位的EUI-64地址。
在iptables中,对IPv6地址的匹配比对IPv4地址更灵活,因为它可以按任意位置的掩码进行匹配,而不像IPv4下只能从前往后匹配。
例如,在iptables中,可以这样配置一个规则:
ip6tables -I FORWARD -d ::a3a3:beff:fe89:93af/::ffff:ffff:ffff:ffff -j ACCEPT
这条规则将匹配EUI-64后缀为a3a3:beff:fe89:93af的IPv6地址。
更多信息可以参考以下链接:
http://blog.dupondje.be/?p=17
https://boypt.github.io/2018/10/24/match-ipv6/ 阿里云买个域名aaaa吧
页:
[1]