5
动态公网 IP,如何配置 openwrt 防火墙,仅放行指定设备?
source link: https://www.v2ex.com/t/1004926
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
主路由是 openwrt ,想通过公网访问与主路由连接的群晖 NAS ,家里宽带只有动态 IPv6 的公网 IP ,该如何配置 openwrt 的防火墙规则呢?
iptables 想指定目标设备,只能通过目标设备的 IP 来指定,但这公网 IP 又是动态的...
请教一下各位有什么好方法吗?
iptables 想指定目标设备,只能通过目标设备的 IP 来指定,但这公网 IP 又是动态的...
请教一下各位有什么好方法吗?
第 1 条附言 · 10 小时 55 分钟前
10 条回复 • 2024-01-01 17:01:53 +08:00
 |
kaedeair 14 小时 12 分钟前 via Android 放行目的地 ip 地址::xxxx:xxxx:xxxx:xxxx/::ffff:ffff:ffff:ffff
|
1 |
lcdtyph 14 小时 9 分钟前 via iPhone 1. 可以像一楼那样匹配后缀,但这需要该设备支持获取 dhcpv6 并禁用 slaac
2. 可以匹配该设备的 mac 地址,luci 界面上可以选 |
 |
cpstar 13 小时 41 分钟前 只是放行目标地址(也就是 NAS 设备)么?放行 NAS 端口不就好了,然后 NAS 做 AAAA 的 DDNS ,至于获取 IP ,本机获取 V6 地址的方法千千万。
|
 |
proxytoworld 13 小时 0 分钟前 iptables 可以放行范围吧,你家 IP 不可能不重复吧
|
 |
WhatTheBridgeSay 12 小时 57 分钟前 感觉像是 V4 过度到 V6 还不太适应的样子,楼上怎么还有 DDNS 的....IPV6 的防火墙在你的群晖上
|
|
WhatTheBridgeSay 12 小时 57 分钟前 抱歉,楼上说 NAS 的 DDNS 并没有错,是我看叉劈了
|
 |
acbot 12 小时 51 分钟前 @lcdtyph
是的,IPv6 防火墙有一个特性,可以后缀匹配! 但 “ ... 这需要该设备支持获取 dhcpv6 并禁用 slaac ... ” 这个说法应该不严谨,slaac 也可以做到让机器后缀固定,只是要在相应的操作系统上调整地址生成的参数,并且 slaac 是 ipv6 更推荐的地址分配方式,兼容性也高于 dhcpv6 (因为早期的安卓系统就不支持 dhcpv6 )系统上再开启隐私扩展更安全。 |
|
WhatTheBridgeSay 12 小时 49 分钟前 看了一下 OpenWrt 默认防火墙配置确实是拒绝转发的。
1. 如果你给群晖配置的后缀固定(不管是 slaac 还是 dhcp6)的话可以针对后缀设置防火墙放行 2. 也可以针对所有 IPV6 放行,允许从 wan 区域转发到 lan 区域,让 IPV6 发挥最大价值,当然如果采用后者拥有 IPV6 的机器本身防火墙还是有必要开一开的,虽然理论上 IPV6 基本不可扫描。  |
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK