V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yodhcn
V2EX  ›  程序员

动态公网 IP,如何配置 openwrt 防火墙,仅放行指定设备?

  •  
  •   yodhcn ·
    yodhcn · 333 天前 · 2843 次点击
    这是一个创建于 333 天前的主题,其中的信息可能已经有所发展或是发生改变。
    主路由是 openwrt ,想通过公网访问与主路由连接的群晖 NAS ,家里宽带只有动态 IPv6 的公网 IP ,该如何配置 openwrt 的防火墙规则呢?
    iptables 想指定目标设备,只能通过目标设备的 IP 来指定,但这公网 IP 又是动态的...
    请教一下各位有什么好方法吗?
    第 1 条附言  ·  332 天前
    结论:模糊匹配前缀,特定后缀

    参考博客
    https://blog.csdn.net/wangrui1573/article/details/129200744
    17 条回复    2024-01-04 09:51:38 +08:00
    kaedeair
        1
    kaedeair  
       333 天前 via Android   ❤️ 1
    放行目的地 ip 地址::xxxx:xxxx:xxxx:xxxx/::ffff:ffff:ffff:ffff
    lcdtyph
        2
    lcdtyph  
       333 天前 via iPhone   ❤️ 1
    1. 可以像一楼那样匹配后缀,但这需要该设备支持获取 dhcpv6 并禁用 slaac
    2. 可以匹配该设备的 mac 地址,luci 界面上可以选
    cpstar
        3
    cpstar  
       332 天前
    只是放行目标地址(也就是 NAS 设备)么?放行 NAS 端口不就好了,然后 NAS 做 AAAA 的 DDNS ,至于获取 IP ,本机获取 V6 地址的方法千千万。
    proxytoworld
        4
    proxytoworld  
       332 天前
    iptables 可以放行范围吧,你家 IP 不可能不重复吧
    WhatTheBridgeSay
        5
    WhatTheBridgeSay  
       332 天前
    感觉像是 V4 过度到 V6 还不太适应的样子,楼上怎么还有 DDNS 的....IPV6 的防火墙在你的群晖上
    WhatTheBridgeSay
        6
    WhatTheBridgeSay  
       332 天前
    抱歉,楼上说 NAS 的 DDNS 并没有错,是我看叉劈了
    acbot
        7
    acbot  
       332 天前
    @lcdtyph

    是的,IPv6 防火墙有一个特性,可以后缀匹配!

    但 “ ... 这需要该设备支持获取 dhcpv6 并禁用 slaac ... ” 这个说法应该不严谨,slaac 也可以做到让机器后缀固定,只是要在相应的操作系统上调整地址生成的参数,并且 slaac 是 ipv6 更推荐的地址分配方式,兼容性也高于 dhcpv6 (因为早期的安卓系统就不支持 dhcpv6 )系统上再开启隐私扩展更安全。
    WhatTheBridgeSay
        8
    WhatTheBridgeSay  
       332 天前
    看了一下 OpenWrt 默认防火墙配置确实是拒绝转发的。
    1. 如果你给群晖配置的后缀固定(不管是 slaac 还是 dhcp6)的话可以针对后缀设置防火墙放行
    2. 也可以针对所有 IPV6 放行,允许从 wan 区域转发到 lan 区域,让 IPV6 发挥最大价值,当然如果采用后者拥有 IPV6 的机器本身防火墙还是有必要开一开的,虽然理论上 IPV6 基本不可扫描。

    gudako
        9
    gudako  
       332 天前 via Android
    @acbot 请问安卓可以调整*地址生成参数*来固定通过 slaac 获取的 ipv6 后缀吗?
    lcdtyph
        10
    lcdtyph  
       332 天前 via iPhone
    @acbot 是的可以设置成 eui64 生成固定后缀
    acbot
        11
    acbot  
       332 天前
    @gudako

    我记得 android 默认就是开启隐私模式,slaac 模式下默认就是两个地址, 一个 eui64 后缀(固定) 一个随机后缀,至于能不能修改我没有研究过!
    jiuyl
        12
    jiuyl  
       332 天前
    问题是,指定后缀放行了。 家里地址变更,你在外网,怎样知道家里的前缀呢。
    tsanie
        13
    tsanie  
       332 天前
    openwrt 后缀匹配支持::a:b:c:d/-64 这种写法,建议少些几个字

    (虽然最终生成到 nft 里还是/::ffff:ffff:ffff:ffff )
    qianxu2001
        14
    qianxu2001  
       332 天前
    @acbot 不是早期,现在也不支持,且以后也不会支持
    acbot
        15
    acbot  
       332 天前
    @qianxu2001 我只知道老版本(大约:android 8 之前)是确定不支持, 新版本(大约:android 9 以后)是否支持,说法就是五花八门了(有说支持的,有说要特定厂家定制版本支持的,也有说不支持的),我也没办法去都去验证,所以我只能说老版本了!
    ysc3839
        16
    ysc3839  
       331 天前 via Android
    匹配 MAC 地址
    v2yoog
        17
    v2yoog  
       330 天前
    架设 vpn 组内网就好了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5366 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 05:47 · PVG 13:47 · LAX 21:47 · JFK 00:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.