路由器怎么暴露指定内网主机，在IPv6情况下

thegodra

前情2：IPv6可用状态目前是怎样的？
前情2：现在的万兆光猫还要改桥接吗

标题可能描述的不太准确
在折腾了一圈后几处窝点的内网设备都拿到IPv6地址
但是连通性测试第一步Ping就不过
经过一番资料查阅，说是路由器（光猫如果没有桥接的话）默认屏蔽了IPv6的入站
很多路由器配置页面也没有提供IPv6防火墙的配置，只能打命令

如果关闭路由器的防火墙，我自己的设备软件肯定升级到最新
但是毕竟内网其它人的设备我管不到，把他们暴露在公网感觉不太好

有咩有办法，只开放防火墙给希望在公网的设备？

希望有使用IPv6的坛友谈谈使用的方案
THX~

Processed

方案就是打命令开放端口

openwrt好歹还有个webui界面可以操作，没有的话只能靠iptable命令我也不会

袄_偶滴小乔

华硕/梅林有这种设置啊

浔箐

家用宽带IPV6也是变动的吧？防火墙该怎么设置

thegodra

浔箐 发表于 2023-2-2 15:50
家用宽带IPV6也是变动的吧？防火墙该怎么设置

对，这正是我疑问之一
难道写个脚本，用MAC/用主机名判断么

password

这要求就是得自己配置路由的防火墙吧，ROS是可以配的，我以前看过点作为了解，现在我家宽还有公网IPv4所以最后没有实际配置试过，比如这个：
http://www.irouteros.com/?p=1173

uroko

之前莫名其妙部分网页打不开，挂自己的阿里云香港跳板又能打开。排查后发现居然是因为局域网ip自动分配成ipv6的关系，适配器选项里直接关了ipv6后所有症状消失…

缘去皆空

关闭ipv6防火墙。不过我都是玩ipv4的内网多层端口转发，仅路由器获取公网ipv6，内网禁用ipv6。

革萌

DMZ就行

回忆and无语

ip6tables，允许内网网卡br0主动发起连接：

1. ip6tables -P FORWARD DROP
   
2. ip6tables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
   
3. ip6tables -A FORWARD -m state --state INVALID -j DROP
   
4. ip6tables -A FORWARD -i br0 -j ACCEPT

复制代码

nftables，允许wg0和br0主动发起连接：

1. table inet filter {
   
2.         chain forward {
   
3.                 type filter hook forward priority filter; policy drop;
   
4.                 ct state vmap { invalid : drop, established : accept, related : accept }
   
5.                 iifname { "wg0", "br0" } accept
   
6.         }
   
7. }

复制代码

=====分割线======
刚才没认真看，上面的防火墙规则是允许内网主动发起连接，不是允许连接指定设备。ipv6的的地址是会变化的。要不写个脚本定期获取指定主机地址该防火墙规则，或者直接给内网主机配个fc00::/8的地址然后dnat过去（类似于DMZ）
iptables是没法根据目的MAC匹配的，只能根据来源MAC匹配规则

1. ip6tables -A FORWARD -m mac --mac-source 00:00:11:11:22:22 -j ACCEPT

复制代码

jie2000

别说v6，哪怕是v4你不固定的话一样做不了防火墙规则的，老老实实手动分配v6的IP吧

288794

为啥开放？vpn穿回去当内网用不好吗？

litel

我反正等ipv6全放开再说...
全放开了, 配套的安全措施软件的坑也会被大家踩完的...

楪蘭楓

我在路由器上放了一个ss服务端，外网手机和电脑的客户端连上就可以访问内网了，用起来感觉比vpn方便多了。

—— 来自 samsung SM-G9910, Android 13上的 S1Next-鹅版 v2.5.4

liwangli1983

ipv6防火墙这块挺不好办的，因为都是公网地址，没有nat，反到不好做规则匹配，至少没法按ip来匹配，因为每次pppoe括号都会分配新的ipv6头（前64位），虽然后64位是固定（依靠mac生成），但目前至少我用的路由系统（routeros），在防火墙规则匹配上没法只匹配后64位。

所以我目前的办法一个是限制ipv6使用范围，给需要用到ipv6的设备（主要就是nas，因为ipv6等于扩大种子范围）直接接到路由器特定接口上，只针对这个接口分配ipv6地址，其它设备还是正常用ipv4。

防火墙方面，只能用端口来匹配，只开放bt软件用到的端口，其它一律阻塞，这是在目前情况下我能想到的办法

0WHan0

liwangli1983 发表于 2023-2-3 10:08
ipv6防火墙这块挺不好办的，因为都是公网地址，没有nat，反到不好做规则匹配，至少没法按ip来匹配，因为每 ...

OpenWrt可以用这种方式匹配后缀

liwangli1983

核证 发表于 2023-2-2 19:00
内网设备一般会有两种IPv6地址，一个是随机生成后缀，一个是通过MAC地址生成固定后缀，把固定后缀填进防 ...

win和linux下，默认情况下为了安全，每隔一段时间都生成一个随机后缀的地址，用于对外连接用，除非改配置指定用那个固定后缀（但这样又不安全），所以防火墙还是匹配端口和协议吧

liwangli1983

0WHan0 发表于 2023-2-3 10:16
OpenWrt可以用这种方式匹配后缀

ros目前不可以，另外主要问题是如果用固定后缀对外网访问，有安全隐患，所以匹配端口和协议相对安全

另外ros新版有ipv6 nat了，不知道能不能用ipv6内网地址，类似ipv4那种用法

liwangli1983

核证 发表于 2023-2-3 10:35
本来就是为了让万物互联取消NAT才把IPv6设计成这种分配机制而不是单纯基于IPv4增加长度。
而且随机后缀主 ...

我刚用ipv6看到可以从外部主机ping通内网每个设备时也很兴奋，但马上就想到这样暴露在公网上是不是不安全

ipv4时代残留的习惯了

linux下我记得是可以不使用随机后缀的，win就不太清楚了，我目前没让win机器使用ipv6还

liwangli1983

其实用上ipv6第一个碰到的概念个的问题就是，这玩意儿为啥不用dhcp就能获取地址，后来一番研究才知道ipv6直接通过slaac来分配地址（当然也还是可以用dhcp），所以防火墙设置时要开放这方面的协议和端口，否则就无法让下级设备获取到地址

不过这个对于普通的民用路由器应该厂家出厂时都弄好了，不用担心，但ros/openwrt这种配置时得注意了

浔箐

liwangli1983 发表于 2023-2-3 10:39
我刚用ipv6看到可以从外部主机ping通内网每个设备时也很兴奋，但马上就想到这样暴露在公网上是不是不安全 ...

屏蔽外部访问，IPV4和V6没啥区别，比如你内网开放个80端口，IPV4地址外部访问不了没问题，IPV6是可以外部访问80端口的，除非你在主机上做防火墙配置，禁止访问，太费事了。所以老实禁止外部访问内网IPV6最安全

liwangli1983

浔箐 发表于 2023-2-3 10:53
屏蔽外部访问，IPV4和V6没啥区别，比如你内网开放个80端口，IPV4地址外部访问不了没问题，IPV6是可以外部 ...

路由上做了防火墙配置，只让特定的端口和协议能通过路由的ipv6防火墙，目前暂时只能先这样

Chat-GPT

可以考虑使用SLAAC (Stateless Address Autoconfiguration) 和 EUI-64 (Extended Unique Identifier 64) 生成的IPv6地址。这类地址由路由器下发的64位前缀和使用EUI-64规则生成的64位后缀组成，其中后缀则是由以太网地址扩展得到。EUI-64生成的后缀有很明显的特征，其会在24位间插入16位的0xFFFE，形成64位的EUI-64地址。

在iptables中，对IPv6地址的匹配比对IPv4地址更灵活，因为它可以按任意位置的掩码进行匹配，而不像IPv4下只能从前往后匹配。

例如，在iptables中，可以这样配置一个规则：

1. ip6tables -I FORWARD -d ::a3a3:beff:fe89:93af/::ffff:ffff:ffff:ffff -j ACCEPT

复制代码

这条规则将匹配EUI-64后缀为a3a3:beff:fe89:93af的IPv6地址。

更多信息可以参考以下链接：

http://blog.dupondje.be/?p=17
https://boypt.github.io/2018/10/24/match-ipv6/

astkaasa

阿里云买个域名aaaa吧